SQL injection ASP Güvenlik

[tolgahat]

SQL injection mssql için ne gibi güvenlik önlemleri almalıyız.. Bu aralar çok konuşalan bir konu haline geldi..

Hela asp mssql de çok tehlikeli bir durum.

Alıntı:

<%
function strkoru(strsorgu)
strsorgu=Replace(strsorgu,"'" ,"%replace%" , 1, -1, 1)
strsorgu=Replace(strsorgu,"<" ,"%replace%" , 1, -1, 1)
strsorgu=Replace(strsorgu,">" ,"%replace%" , 1, -1, 1)
strsorgu=Replace(strsorgu,"%" ,"%replace%" , 1, -1, 1)
strsorgu=Replace(strsorgu,"-" ,"%replace%" , 1, -1, 1)
strsorgu=Replace(strsorgu,"+" ,"%replace%" , 1, -1, 1)
strsorgu=Replace(strsorgu,"union" ,"%replace%" , 1, -1, 1)
strsorgu=Replace(strsorgu,"update" ,"%replace%" , 1, -1, 1)
strsorgu=Replace(strsorgu,"select" ,"%replace%" , 1, -1, 1)
strsorgu=Replace(strsorgu,"where" ,"%replace%" , 1, -1, 1)
strsorgu=Replace(strsorgu,"delete" ,"%replace%" , 1, -1, 1)
strsorgu=Replace(strsorgu,"insert" ,"%replace%" , 1, -1, 1)
strsorgu=Replace(strsorgu,"drop" ,"%replace%" , 1, -1, 1)
If InStr(1,strsorgu,"%replace%" ,1) Then
response.redirect "/"
End If
strkoru=Trim(strsorgu)
End Function %>

Yukardaki Function ile ne kadar koruma sağlanabilir asp ciler ne yapıyor mssql kulananlar bu konuda.

[lovemove]

id sorgularını ve bu replace olayını ayrıca bir yöntem daha var onuda yaptığın zaman dql injeksiyon senden korksun..

[Phantasm]

ekte.......

[tolgahat]

Alıntı:

lovemove´isimli üyeden Alıntı

id sorgularını ve bu replace olayını ayrıca bir yöntem daha var onuda yaptığın zaman dql injeksiyon senden korksun..

yöntemi yazarsan sevinirim çünkü mssql ile başıl feci biçimde dertte.

[disconnect]

<%function guvenlik(veri)
veri = Replace (veri ,"`","",1,-1,1)
veri = Replace (veri ,"=","",1,-1,1)
veri = Replace (veri ,"&","",1,-1,1)
veri = Replace (veri ,"%","",1,-1,1)
veri = Replace (veri ,"!","",1,-1,1)
veri = Replace (veri ,"#","",1,-1,1)
veri = Replace (veri ,"<","",1,-1,1)
veri = Replace (veri ,">","",1,-1,1)
veri = Replace (veri ,"*","",1,-1,1)
veri = Replace (veri ,"/","",1,-1,1)
veri = Replace (veri ,"\","",1,-1,1)
veri = Replace (veri ,"'","",1,-1,1)
veri = Replace (veri ,"-","",1,-1,1)
veri = Replace (veri ,"'","",1,-1,1)
veri = Replace (veri ,"^","",1,-1,1)
veri = Replace (veri ,"select","",1,-1,1)
veri = Replace (veri ,"update","",1,-1,1)
veri = Replace (veri ,"join","",1,-1,1)
veri = Replace (veri ,"delete","",1,-1,1)
veri = Replace (veri ,"alter","",1,-1,1)
veri = Replace (veri ,"create","",1,-1,1)
veri = Replace (veri ,"drop","",1,-1,1)
guvenlik=veri
end function%>

<%id= guvenlik(request.querystring("id"))%>
Formlar için
<%username= guvenlik(request.form("username"))
password= guvenlik(request.form("password"))%>

Bende bu şekilde kullanıyorum. En sık gelecek saldırılar tahminimce bunlar.
Ve aynı şekilde bu kontrolü formlardan alınan verilerde de yapmak gerekli.
Numeric kontrol malesef yetersiz kalıyor.

[tolgahat]

sorun zaten bide bunların hex ve ascii kodları ilede yapılabileceği buyüzden sayfalardaki kod miktarı artıyor.