SQL Injection !

 

SQL injection nedir ve naıl yapılır diyenlere güzel bir örnek vermek istiyorum hem açıklayıcı hem de ne olduğunu daha iyi kavramanıza olanak sağlamakta;

DECLARE @password VARCHAR (20);
DECLARE @input    VARCHAR (20);
DECLARE @ExecStr  VARCHAR (1000);

SELECT @password = 'gizlibirsifre';

--  'OR''=' girmek
SELECT @input = '''OR''''=''';

SELECT @ExecStr = 'IF ''' + @password + ''' LIKE ''' + @input + ''' PRINT ''Password Accepted''';

EXEC (@ExecStr);
GO

Yorum ekle