basicdb icon indicating copy to clipboard operation
basicdb copied to clipboard

Published 20 hours ago verified publisher icon tayfunerbilen

Sql İnjection işlemlerinin önüne geçilmeli

Open YasinKose opened this issue 3 years ago • 1 comments

Where methoduyla $where değişkeni içerisine depolanan verileri sorgulama sırasında string olarak işlediğiniz için(BKNZ) maalesef SQL Injection saldırılarından kaçamıyorsunuz 😒

Daha evvel kullandığım projenin verilerinin çekilebileceğini öğrendiğim zaman inceleme gereği duydum ve maalesef böyle bir şey ile karşılaştım. Sql çekme denemesini kendi projem üzerinde SqlMap betiği ile gerçekleştirdim.

Çözüm önerisi: quote fonksiyonu ile gelen stringleri escape edebilir veyahut $string = str_replace("'","\'",$string); yöntemiyle gerekli gördüğünüz stringleri temizleyerek bu açıktan sıyrılabilirsiniz.

İyi eğlenceler!

YasinKose avatar Nov 11 '21 21:11 YasinKose

Örnek bir paylaşım yapar mısınız açıklar kapatılmış haliyle ?

unirase avatar Jan 11 '23 09:01 unirase