Web uygulamalarında en çok saldırı alabileceğimiz yerler veritabanı üzerinde çalıştırdığımız SQL sorgularımızdır. SQL Injection adı verilen teknik ile kötü niyetli kullanıcılar arka planda çalıştırdığımız SQL sorgularına ek SQL cümleleri ekleyebilmekte ve yeri geldiğinde "DROP DATABASE ..." gibi bir sorgu ile tüm veritabanını bile silebilmektedir! Gerek SQL Server ortamında hazırladığımız stored procedure'larda, gerekse uygulama tarafında kullandığımız ADO.NET nesnelerinde parametre (parameter) kullanarak bu tip tehditlerden veritabanımızı koruyabilmekteyiz. Parametreler SQL cümlelerinde sadece sütunlarda aranacak değerleri taşıyabilmekte, tablo veya sütun isimlerini ise taşıyamamaktadır. "Select * From Haberler Where HaberID=@id" gibi bir SQL cümlesinde HaberID sütununda aranacak değer parametre olarak aktarılabilir. Peki SQL cümlesine tablo adını parametre olarak aktarmak gibi bir durumda nasıl bir yolu izleyebiliriz? Yani "Select * From @TabloIsim" gibi bir SQL cümlesi yazabilsek ve parametre olarak Haberler bilgisini yolladığımızda sorgumuz Haberler tablosundaki, Duyurular bilgisini yolladığımızda da Duyurular tablosundaki tüm verileri getirse...

Bir yazılım geliştirilirken geliştirilme aşamasında hangi Veri Tabanı Yönetim Sisteminin (VTYS) kullanılacağı bilinmiyorsa bu durum sorun oluşturan bir durumdur. Büyük projelerde genellikle ilk olarak kullanılacak olan Veri Tabanı Yönetim Sistemi belirlenir ve ardından da DataBase tasarımına geçilir. Peki kullanılacak olan VTYS'mine karar veme süresi uzadı ise ne olacak? Karşınızda 2 seçenek var. Ya bekleyip projeyi geçici bir süre bekletip bu kararın daha hızlı alınmasını sağlamak ya da ADO.NET'te bulunan Provider Factory'leri kullanmak. Provider Factory'ler ile birlikte ilk olarak veriye erişim katmanını sanki tablolar varmış gibi hazırlayıp daha sonra sağlayıcı seçebiliyorsunuz ve seçilen sağlayıcıya göre kodlarınız çalıştırılıyor.

Bir ASP.NET uygulamasında kullandığım Access veritabanındaki işlemlerde "Operation must use an updateable query" hatası ile karşılaştım. Local makinamda herhangi bir problem oluşmazken, sunucuda yapmak istediğim INSERT, UPDATE ve DELETE işlemlerinde aldığım bu hatanın sebebi sorgu cümleleri ile ilgili değil de, dosya okuma-yazma izinleri ile ilgili olduğunu öğrendim. Bu tip bir hata ile karşılaşırsanız mdb dosyasının bulunduğu dizinde NETWORK SERVICE isimli kullanıcıya yazma hakkı vermeniz gerekiyor.

Not: Bu kullanıcı Windows Server 2003 ve Windows Vista'da NETWORK SERVICE iken, Windows XP'de ASP.NET kullanıcısı olmalıdır.