set Ekle = DataBaglanti.Execute("EXECUTE [dbo].[SQLPROCEDUR] @PARAM1 ='abc',@PARAM2i='TEST'")
Yukarıdaki örnek ile Sql Serverda bulunan Procedure tetikliyebilirsiniz
Bu işlemden önce Database bağlantınızı yapmanız gerekir
function SQLInject(strWords)
dim badChars, newChars, tmpChars, regEx, i
badChars = array( _
"select(.*)(from|with|by){1}", "insert(.*)(into|values){1}", "update(.*)set", "delete(.*)(from|with){1}", _
"drop(.*)(from|aggre|role|assem|key|cert|cont|credential|data|endpoint|event|f ulltext|function|index|login|type|schema|procedure|que|remote|role|route|sign| stat|syno|table|trigger|user|view|xml){1}", _
"alter(.*)(application|assem|key|author|cert|credential|data|endpoint|fulltext |function|index|login|type|schema|procedure|que|remote|role|route|serv|table|u ser|view|xml){1}", _
"xp_", "sp_", "restore\s", "grant\s", "revoke\s", _
"dbcc", "dump", "use\s", "set\s", "truncate\s", "backup\s", _
"load\s", "save\s", "shutdown", "cast(.*)\(", "convert(.*)\(", "execute\s", _
"updatetext", "writetext", "reconfigure", _
"/\*", "\*/", ";", "\-\-", "\[", "\]", "char(.*)\(", "nchar(.*)\(")
newChars = strWords
for i = 0 to uBound(badChars)
Set regEx = New RegExp
regEx.Pattern = badChars(i)
regEx.IgnoreCase = True
regEx.Global = True
newChars = regEx.Replace(newChars, "")
Set regEx = nothing
next
newChars = replace(newChars, "'", "''")
newChars= replace(newChars, "'", "''")
newChars= replace(newChars, " ", "")
newChars= replace(newChars, "'", "|")
newChars= replace(newChars, "|", "''")
newChars= replace(newChars, "\""", "|")
newChars= replace(newChars, "|", "''")
SQLInject = newChars
end function
Kullanımı YeniKelime = SQLInject(“Select Test”)
Bu function ile SQL Injection açığını önüne geçebilirsiniz
Function Temizle(strVeri)
If strVeri = "" Then Exit Function
strVeri = Replace(strVeri, "<", "&lt;")
strVeri = Replace(strVeri, ">", "&gt;")
strVeri = Replace(strVeri, "[", "&#091;")
strVeri = Replace(strVeri, "]", "&#093;")
strVeri = Replace(strVeri, """", "", 1, -1, 1)
strVeri = Replace(strVeri, "=", "&#061;", 1, -1, 1)
strVeri = Replace(strVeri, "'", "''", 1, -1, 1)
strVeri = Replace(strVeri, "Select", "sel&#101;ct", 1, -1, 1)
strVeri = Replace(strVeri, "join", "jo&#105;n", 1, -1, 1)
strVeri = Replace(strVeri, "union", "un&#105;On", 1, -1, 1)
strVeri = Replace(strVeri, "where", "wh&#101;re", 1, -1, 1)
strVeri = Replace(strVeri, "insert", "ins&#101;rt", 1, -1, 1)
strVeri = Replace(strVeri, "Delete", "del&#101;te", 1, -1, 1)
strVeri = Replace(strVeri, "Update", "up&#100;ate", 1, -1, 1)
strVeri = Replace(strVeri, "Like", "lik&#101;", 1, -1, 1)
strVeri = Replace(strVeri, "drop", "dro&#112;", 1, -1, 1)
strVeri = Replace(strVeri, "create", "cr&#101;ate", 1, -1, 1)
strVeri = Replace(strVeri, "modify", "Mod&#105;fy", 1, -1, 1)
strVeri = Replace(strVeri, "rename", "ren&#097;Me", 1, -1, 1)
strVeri = Replace(strVeri, "alter", "alt&#101;r", 1, -1, 1)
strVeri = Replace(strVeri, "cast", "ca&#115;t", 1, -1, 1)
Temizle = strVeri
End Function
Function TarihDondur(tarih)
tarihParcalar = Split(tarih, ".")
Dim gun
gun = FormatNumber(tarihParcalar(0), 0)
If Len(gun) = 1 Then
gun = "0" & gun
End If
Dim ay
ay = FormatNumber(tarihParcalar(1), 0)
If Len(ay) = 1 Then
ay = "0" & ay
End If
Dim yil
yil = tarihParcalar(2)
TarihDondur = yil& "-" & ay & "-" & gun
end function
Kullanımı
<%= TarihDondur("29.10.1986")%>
Ekran Çıktısı : 1986-10-29
Function Turkce(strveri)
If strVeri = "" Then Exit Function
strVeri = Replace(strVeri, "ç", "ç")
strVeri = Replace(strVeri, "ı", "ı")
strVeri = Replace(strVeri, "ğ", "ğ")
strVeri = Replace(strVeri, "ö", "ö")
strVeri = Replace(strVeri, "ş", "ş")
strVeri = Replace(strVeri, "ü", "ü")
strVeri = Replace(strVeri, "Ç", "Ç")
strVeri = Replace(strVeri, "İ", "İ")
strVeri = Replace(strVeri, "Ğ", "Ğ")
strVeri = Replace(strVeri, "Ö", "Ö")
strVeri = Replace(strVeri, "Ş", "Ş")
strVeri = Replace(strVeri, "Ü", "Ü")
turkce = strveri
End Function