SQL(Structured Query Language) Nedir?
SQL bir veritabanıdır. Bu veritabanında veri ekleyebilir,düzenlenebilir ve silinebilir. Günümüzde bir çok site bu veritabanını kullanmaktadır.
SQL Injection Nedir?
SQL Injection genellikle yanlış kodlama ile ortaya çıkan bir açık türüdür. Bu açık sayesinde veritabanına ulaşılıp veri çekilebilir. Bu açık genelde sistemlerde ID değerinde bulunur.
Bu açığın çok tehlikeli olduğunu unutmayalım çünkü mail adreslerimiz,şifrelerimiz,doğum tarihimiz,TC kimlik numaramız,kredi kartı bilgilerimiz vesaire açıklı sitenin veritabanında bulunabilir.
SQL Injection Hangi Sayfalarda Olur?
SQL Injection uygulayabilmek için URL'de örneğin: "ara.php?id=<DEĞER>" "sayfa.php?id="<DEĞER>" gibi ifadeler lazımdır. Aksi takdirde injection olayı gerçekleştirilemez.
SQL Açığı Olduğunu Nasıl Anlarım?
SQL Açığını anlamak için ilk olarak belirlediğimiz adresin "id=<DEĞER>" kısmından sonra string(') tek tırnak bırakarak enter'a basıyoruz. Sayfa yüklendikten sonra sayfada bir değişiklik var ise büyük bir ihtimalle SQL açığı bulunmaktadır. Örneğin sayfa tasarımı bozulabilir,Mysql hata mesajı verebilir,Sayfaya hiç veri yansımaz gibi...
Örnek açıklardan bir tanesi:
!["SQL"]("http://sitebizden.com/yonetim/fonksiyonlar_sabitler/tiny_mce/plugins/imagemanager/files/sql.png")