Sql İnjection işlemlerinin önüne geçilmeli

[Where](https://github.com/tayfunerbilen/basicdb/blob/3d25bb84931bee27930802b64ea2634f91488276/src/BasicDB.php#L88) methoduyla [$where](https://github.com/tayfunerbilen/basicdb/blob/3d25bb84931bee27930802b64ea2634f91488276/src/BasicDB.php#L23) değişkeni içerisine depolanan verileri sorgulama sırasında string olarak işlediğiniz için([BKNZ](https://github.com/tayfunerbilen/basicdb/blob/3d25bb84931bee27930802b64ea2634f91488276/src/BasicDB.php#L240)) maalesef SQL Injection saldırılarından kaçamıyorsunuz 😒 

Daha evvel kullandığım projenin verilerinin çekilebileceğini öğrendiğim zaman inceleme gereği duydum ve maalesef böyle bir şey ile karşılaştım. Sql çekme denemesini kendi projem üzerinde [SqlMap](https://github.com/sqlmapproject/sqlmap) betiği ile gerçekleştirdim.

Çözüm önerisi:
`quote` fonksiyonu ile gelen stringleri escape edebilir veyahut `$string = str_replace("'","\'",$string);` yöntemiyle gerekli gördüğünüz stringleri temizleyerek bu açıktan sıyrılabilirsiniz.

İyi eğlenceler!

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

Sql İnjection işlemlerinin önüne geçilmeli #39

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

Uh oh!

Sql İnjection işlemlerinin önüne geçilmeli #39

Description

Metadata

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

Issue actions