Sql injeksiyon dedikleri benim başıma gelir mi ?

[hakanizm]

Bütün sorgularımı aşağıdaki gibi yapıyorum. Yani sanırım stored prosedure kullanmıyorum. Aşağıdaki normal aspx dosyası içerisinde kullandığım komutlar sql injeksiyon açığı mıdır ? Sitemi hackleyebilirler mi ?

PortakalSelect = New SqlCommand("Select Bresim, HaberId, ArsivTarihi, KategoriId, Kategoriler, Yazi, Rate, SUBSTRING(Baslik, 1, 60) as SPORTekBaslikTmp From items WHERE ArsivTarihi=(SELECT ogun FROM online) And KategoriId = 4 ORDER by Baslik", Portakalcon)

[fan]

sqle dışardan veri almıyosunki bişey olsun

[hakanizm]

dışarıdan veri almaktan kastettiğin şey tam olarak nedir ?
başka bir siteden xml falan çekmek gibi birşey mi ?

[acemiyim]

hayır querystring veya form üzerinden veri almaktan bahsediyor.

[hakanizm]

Ben şimdi .aspx dosyamda aşağıdaki kodları da kullanıyorum. Bahsettiğiniz şey yoksa bu kodları kullanmak mı oluyor ?

GelenKatAd = Request.QueryString("KatAd")
GelenKatId = Request.QueryString("KatId")
GelenTarih = Request.QueryString("Tarih")

[fan]

evet o bilgileri ziyaretçilerden alıyorsan filtre uygulaman gerekli zararlı kodları engellemek için.

[local]

GelenKatId = cint(Request.QueryString("KatId")) bu şekilde önleyebilirsin.

[hakanizm]

Local Hay Allah senden Razı Olsun... Yani bu kadar kolay önlemek Birisi baya bi kod yazmıştı başka bir yerde moralim bozulmuştu

[DincerAydogdu]

Konuyla ilgili şurada bir cevabım var.
http://forum.iyinet.com/asp-net/8790...yer-miyim.html

[hakanizm]

Teşekkürler.