SQL İNJECTİON
SQL İnjection web uygulamalarında en önemli açıkların başında gelir.Özellikle Object Relational Mapping gibi ekstra veritabanı katmanlarının popülerleşmesiyle eskisine göre biraz daha az gözlenmektedir.Ama heryerde rastlanılır.
Web uygulaması geliştiricileri SQL İnjection ı pek anlamadıklşarından bazı kritik hatalar yapabilirler.Bu yüzden SQL metodları çok görünmesede ileri seviye SQL İnjection açıklarını büyük firmalardan hazır sistemlere kadar her yerde görebilirsiniz.
SQL İnjection veritabanlarının bir açığı değildir.SQL İnjection dan korunmak web geliştiricilerinin görevidir.
SQL Nedir?
SQL veritabanlarında data çekmek,silme ve değiştirme için kullanılan basit bir dildir.Bugün hemen hemen tüm web uygulamalarının altyapısında veritabanı desteği vardır. bu web uygulamaları veritabanı ile SQL aracılığıyla anlaşırlar.
Bir siteye mesaj bıraktığınızda bu mesaj veritabanına kaydedilir.O mesaj onaylandığında veritabanındaki bir alan güncellenmiş olur. Yönetici veritabanındaki kaydı silerek o mesajın siteden silinmesini sağlar.Eğer SQL konusunda zayıf iseniz makaleyi anlamanız güç olacaktır. Makaleye devam etmeden önce SQL in temel komutlarını öğrenmenizi ve veritabanı mantığınız anlamanızı tavsiye ederim.
SQL İnjection Nedir?
Web uygulamalarında bir çok işlem için kullanıcıdan alınan veri ile dinamik SQL cümlecikleri oluşturulur.Bu SQL cümlecikleri oluşturulurken araya sıkıştırılan herhangi bir meta-karakter SQL Injection’ a neden olabilir.
Meta-Karakter Nedir?
Bir program için özel anlamı olan karakterlere verilen isimdir.Örnek olarak C temelli C#, Javascript, PHP gibi dillerde (\) backslash karakteri bir meta-karakterdir.
SQL’ için kritik metakarakter (") tek tırnak’ tır. Çünkü iki tek tırnağın arası string olarak algılanır. Diğer bir önemli meta-karakter ise (;) noktalı virgüldür, satırın bittiğini ve yeni satır başladığını bildirir.
|
