20 Mart 2025
En güncel:
MakaleSiber Güvenlik

SQL Injection: Veri Güvenliğinin Sessiz Düşmanı

Ümit Demirtaş

Dijital dünyada veri güvenliği, kullanıcıların bilgilerinin korunmasını sağlamak adına hayati bir konudur. Ancak, kötü niyetli kişiler sistem açıklarını kullanarak yetkisiz erişim sağlamak için çeşitli teknikler geliştirirler. Bu saldırılardan en tehlikelilerinden biri de SQL Injectiondır. Peki, SQL Injection tam olarak nedir ve bu tür saldırılara karşı nasıl korunabiliriz? İşte detaylar…

SQL Injection Nedir?

Basitçe ifade etmek gerekirse, SQL Injection, web uygulamalarının veritabanı ile iletişim kurmak için kullandıkları SQL sorgularının manipüle edilmesiyle ortaya çıkan bir güvenlik açığıdır. Bu açık, saldırganlara sistemdeki hassas verilere erişme veya bunları değiştirme imkanı sunar.

Örnek olarak, aşağıdaki SQL sorgusunu ele alalım:

SELECT * FROM users WHERE username = ‘$username’ AND password = ‘$password’;

Eğer saldırgan giriş formuna şu ifadeyi girerse:

‘ OR ‘1’=’1

Sorgu şu hale gelir:

SELECT * FROM users WHERE username = ” OR ‘1’=’1′ AND password = ”;

Burada ‘1’=’1′ ifadesi her zaman doğru döneceği için saldırgan herhangi bir şifre girmeden giriş yapabilir.

SQL Injection Saldırı Türleri

  1. Klasik SQL Injection: Kullanıcı giriş alanları veya URL parametreleri üzerinden yapılan temel saldırılar.
  2. Blind SQL Injection (Kör SQL Injection): Hata mesajı olmadan, mantıksal testlerle veri sızdırma tekniği.
  3. Union-Based SQL Injection: UNION komutu kullanarak farklı tablolardan veri çekmeye dayalı saldırılar.
  4. Error-Based SQL Injection: Veritabanı hataları üzerinden bilgi sızdırma yöntemi.
  5. Stored SQL Injection: Zararlı SQL kodlarının veritabanına kaydedilerek sonradan çalıştırılması.

SQL Injection’dan Korunma Yöntemleri

1. Parametreli Sorgular Kullanın

SQL Injection’a karşı en etkili önlem, parametreli sorgular (Prepared Statements) kullanmaktır. Bu yöntem, SQL komutlarını ve kullanıcı girdisini birbirinden ayırarak saldırıların önüne geçer.

PHP (PDO) ile Güvenli Sorgu Örneği:

$stmt = $pdo->prepare(“SELECT * FROM users WHERE username = :username AND password = :password”);

$stmt->execute([‘username’ => $username, ‘password’ => $password]);

PHP (MySQLi) ile Güvenli Sorgu Örneği:

$stmt = $conn->prepare(“SELECT * FROM users WHERE username = ? AND password = ?”);

$stmt->bind_param(“ss”, $username, $password);

$stmt->execute();

2. Kullanıcı Girdilerini Doğrulayın

  • Kullanıcılardan alınan verileri belirli kurallara göre denetlemek gerekir.
  • Örneğin, kullanıcı adının yalnızca harf ve rakamlardan oluştuğundan emin olun:

if (!preg_match(“/^[a-zA-Z0-9]*$/”, $username)) {

    die(“Geçersiz kullanıcı adı!”); }

3. Veritabanı Yetkilerini Minimuma İndirin

  • Uygulamanın kullandığı veritabanı hesabına yalnızca gerekli yetkiler verilmeli.
  • Root kullanıcı hesabı ile sorgular çalıştırılmamalı.
  • DELETE, DROP gibi kritik işlemler yetkisiz kullanıcılar için devre dışı bırakılmalı.

4. Web Uygulama Güvenlik Duvarı (WAF) Kullanın

Web güvenlik duvarları, şüpheli istekleri algılayarak saldırıları engelleyebilir. Açık kaynaklı ModSecurity gibi çözümler kullanılabilir.

5. Hata Mesajlarını Gizleyin

Sistem hata mesajları, saldırganlara ipucu vermemelidir. Bunun için hata gösterimini kapatabilirsiniz:

ini_set(‘display_errors’, 0);

Bunun yerine, hata logları güvenli bir yerde saklanmalıdır.

6. ORM (Eloquent, Doctrine vb.) Kullanarak Güvenliği Artırın

Laravel gibi framework’lerde Eloquent ORM veya Doctrine gibi araçlar kullanılarak SQL Injection riski azaltılabilir.

Örneğin, Laravel Eloquent ile güvenli bir sorgu şu şekilde yapılır:

$user = User::where(‘username’, $username)->first();

Bu yöntem, verileri otomatik olarak temizleyerek saldırı riskini en aza indirir.

Sonuç

SQL Injection, sistemler için ciddi bir tehdit oluşturur ve kullanıcı verilerinin ele geçirilmesine neden olabilir. Ancak, parametreli sorgular kullanmak, giriş verilerini doğrulamak, gereksiz yetkileri kaldırmak ve hata mesajlarını gizlemek gibi yöntemlerle bu riskler büyük ölçüde azaltılabilir. Ayrıca, uygulamanızın güvenliğini artırmak için düzenli güvenlik testleri ve güncellemeler yapılmalıdır. Unutmayın, güvenli bir sistem sadece teknolojik önlemlerle değil, aynı zamanda bilinçli bir yaklaşımla sağlanır!

Kaynak: Google,Yandex

Bunları da sevebilirsiniz

Bilgisayar korsanları tarafından kullanılan en iyi 12 şifre kırma tekniği

Sümeyye Kurnaz

Flask MVC (Unit-7) WTForms Kullanımı

Ahmet Sinav

Kadınların Siber Güvenlik Alanında Kariyer Düşünmeleri İçin 6 Neden

Osman Selçok

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.