Katıldığım web güvnenliği seminerlerinden etkilenerek, çok sallama olarak iş görsün diye yazdığım bu siteyi tekrar kodlamaya karar verdim. Bloğun güvenliği gerçekten berbat! Bir çok yerinde SQL injection’a olanak vermesi ve güvenli kod düşünülerek yazılmaması nedeni ile bu normal.
Web güvenliğinde en önemli konulardan biriside Sql Injection dır. Genelde web sitelerinde saldırgan ilk bu açıkları arar ve sömürmeye çalışır. Bende buna dayanarak güvenli bir Data Access Layer yazdım. .NET de her zaman kullandığım parametrik sorguyu ASP ile kullanabilirmiyim diye araştırma yaparken aşağıdaki gibi bir olabilirlik öğrendim.
<%
Set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open "data source name", "user id", "password"
set cmd = Server.CreateObject("ADODB.Command")
set cmd.ActiveConnection = Conn
cmd.CommandText = "sp_MyStoredProc"
cmd.CommandType = adCmdStoredProc
' Use the values from the table in the following lines to define
' parameters
cmd.Parameters.Append cmd.CreateParameter("Return_Value", 3, 4)
cmd.Parameters.Append cmd.CreateParameter("param1", 129, 1, 30)
cmd.Parameters("param1") = "input value"
cmd.Execute
%>
Bu arada o kadar ASP yazdım ama bunu daha yeni öğrendim bu da ayrı bir ironi. Neyse geç oldu ama asp yazmayalıda 2 sene oldu :)
Kaynaklar:
http://support.microsoft.com/kb/165156
http://www.asp101.com/samples/viewasp.asp?file=storedprocs.asp
http://www.webconcerns.co.uk/asp/accessqueries/accessqueries.asp
http://www.w3schools.com/ado/ado_ref_command.asp