Bu yazı reorderlist kontrolünü SQL Server veri tabanı ile kullanırken sorun yaşayan yazılım gelişticiler için:

Reorderlist kontrolünü sisteminize adapte ettikten sonra verilerin düzenlenmesine olanak sağlayan butonunuza tıklandığında doğru sıradaki verinin karşınıza çıkmadığını görürseniz telaşa kapılmayın. Çünkü çözümü gayet basit: veri tabanından veri çekerken kullandığınız SELECT komutunun sonunda  "ORDER BY [sıralama kolonu]" yapmış olmalısınız

Sıralamaların ve güncellemelerin doğru yapılması için sql komutunuzun "ORDER BY"bölümü aşağıdaki gibi olması gerekiyor:

"SELECT id, icerik, yazar, sira FROM [tablo adı] WHERE [parametreler] ORDER BY sira, id, yazar, icerik"

Yukarıdaki sql komutundaki ORDER BY bölümüne dikkat edersek verilerin sıralamalarının yapılırken sql server'a yorum hakkı vermememiz gerekiyor. Eğer düzenle butonuna tıkladığınızda hata ile karşıyorsanız yukarıdaki gibi ORDER BY kodlarsanız sorun ortadan kalkacaktır.

Umarım faydası olur

Henüz Visual Studio 2008 bile yazılım firmaları tarafından aktif olarak kullanılmaya başlamadan VS 2010 Beta 1' in çıkarıldığı duyuruldu. VS 2010 ile neler geleceğini ve diğer sorularınız için VS 2010 kaynaklarının bağlantılarını sizlerle paylaşmak istiyorum:

• İndirme Bağlantıları: Visual Studio Team System Beta 1, Web installer, VSTS Beta 1 ISO, .NET Framework 4.0 Beta 1 
• Beni Oku Dosyası: VSTS Readme
• Kurulum Tavsiyeleri: download & install VSTS Beta 1  
• Önemli Özellikler:  Jason Zander's VS Beta 1 blog post  10-4 Show on Channel 9
• Destek Forumları: Visual Studio 2010 and .NET Framework 4.0 Beta 1
• Öneriler ve Açıklar: Visual Studio 2010 on Connect
• Eğitim Materyalleri: Visual Studio 2010 Training Kit

 

AJAX kullanan web geliştiricilerin karşılaştığı en büyük güçlüklerden bir tanesi kendi local ayarları ile geliştirdikleri uygulamaları başka bir sunuya yükledikleri zaman doğru çalışmamasıdır. ASP.NET AJAX geliştiricilerine bu yazımda bazı tavsiyeler vereceğim. Karşılaştığım güçlüklere arama motorları aracılığıyla ulaştığım birkaç bilgiyi paylaşmak istiyorum.

Bunlardan birincisi "unknown tag" hatası. Dosyalarınızı yüklediğiniz sunucunun varsayılan ayarları kendi bilgisayarınızda çalıştığınız gibi ayarlanmamış olabilir. Bunlardan bir taneside AJAX kontrollerinin tagları... Örneğin aşağıda gördüğünüz ajax kontrolünde tag olarak ajaxToolkit kullanılmış. Genellikle local de kullandığınız tag' lar ile yüklediğiniz sunucuya varsayılan olarak tanıtılmış tag' lar uyuşmaz. Bu gibi durumlarda kendiniz kullandığınız tag' ları aspx sayfalarınızın başında belirtmeniz gerekmektedir. 

<ajaxToolkit:Accordion
ID="MyAccordion"
runat="Server"
SelectedIndex="0"
HeaderCssClass="accordionHeader"
HeaderSelectedCssClass="accordionHeaderSelected"
ContentCssClass="accordionContent"
AutoSize="None"
FadeTransitions="true"
TransitionDuration="250"
FramesPerSecond="40"
RequireOpenedPane="false"
SuppressHeaderPostbacks="true">
<Panes>
<ajaxToolkit:AccordionPane
HeaderCssClass="accordionHeader"
HeaderSelectedCssClass="accordionHeaderSelected"
ContentCssClass="accordionContent">
<Header> . . . </Header>
<Content> . . . </Content>
</ajaxToolkit:AccordionPane>        
.
.
.
</Panes>            
<HeaderTemplate>...</HeaderTemplate>
<ContentTemplate>...</ContentTemplate>
</ajaxToolkit:Accordion>

Örneğin bu kontrol için aspx sayfanızın başına aşağıdaki kod bloğunu eklemeniz gerekmekte: 

<%@ Register assembly="AjaxControlToolkit" namespace="AjaxControlToolkit" tagPrefix="ajaxToolkit" %>

tagPrefix' in eşit olduğu cümleciğe istediğiniz tag adnını vererek AJAX kontrollerini kullanabilirsiniz.

 

İkinci paylaşmak istediğim bilgi updatepanel Türkçe karakter sorunu ile ilgili... UpdatePanel web sayfalarımızın post back yapmadan daha hızlı çalışmasını sağlayan bir kontroldür. Detaylı bilgi için ASP.NET AJAX updatepanel şeklinde google da aratırsanız istemediğiniz kadar bilgiye ulaşabilirsiniz. Lafı fazla uzatmadan konuya gireceğim. UpdatePanel kullanırken veri tabanına kayıt yapıyorsanız ya da veri tabanından veri çekiyorsanız Türkçe karakterlerde sorun yaşayacaksınızdır. Aklınıza hemen web.config dosyasına eklediğiniz <globalization tag'ı gelebilir fakat sizin için her zaman çalışan globalization tag'ı bu kez size sorun çıkarabilir. Size sorun çıkarmayacak <globalization tag'ını sizinle paylaşmak istiyorum:

<globalization requestEncoding="utf-8" responseEncoding="utf-8" fileEncoding="windows-1254" responseHeaderEncoding="windows-1254" />

Bu bloğu web.config dosyanıza ekledikten sonra updatepanel size Türkçe karakter sorunu çıkarmaktan vazgeçecektir.

 

İyi çalışmalar dilerim

 

 

 

Bir web geliştiricisinin karşısına çıkan en büyük sorunlardan bir tanesi geliştirdiği uygulamaların farklı tarayıcılarda (explorer, firefox, opera, vs.) farklı görünmesidir. Tarayıcı testini yapmadan önce bilgisayarımızda kurulu olan bütün tarayıcılar açılır ve hangisinde nasıl görünüyor acaba diye bakılır "dı". "Dı" demeyi çok isterim açıkçası çünkü expression web ile birlikte gelen bu özellik baya işimizi kolaylaştıracak gibi görünüyor.

Şu an yaptığım uygulamaların Explorer'ın farklı sürümlerinde nasıl göründüğü test etmek için "IE Tester" isimli bir uyguluma kullanıyoru. Bu uygulama ile Explorer' ın 6,7 ve 8 beta versiyonlarında nasıl göründüğünü kontrol edebilirsiniz. Bu programı elde etmek için google'a "IE Tester" anahtar kelimesi ile sormanız yeterli. Burda verebileceğim kısıtlı bilgiden çok daha fazlasını edinebileceğinizi söyleyebilirim.

Şimdi gelelim SuperPreview'a... Ürünün beta versiyonu şu an indirilip kullanılabilecek durumda. Ürünün beta versiyonunu indirmek için tıklayın.Ürünün full versiyonu Expression Web 3 ile birlikte geliyor. Ürünün adı aslında çok uzun: "Expression Web SuperPreview for Internet Explorer" ama yaptığı iş de bir o kadar güzel. Bilgisayarınıza farklı browserların hepsinin barındırmak ya da http://browsershots.org/ gibi görsel olarak tarayıcı çıktılarınıda alabilirsiniz. Fakat bu yöntemler web geliştiricisinin gereksiz yere zamanını tüketen işlemler. Microsoft araçlarını kullaranarak proje geliştirdiğim için değil gerçekten yapılması gereken bir yazılımın ortaya çıkmak üzere olduğu için konu üzerine bu kadar vurgu yapıyorum. 

Expression Web SuperPreview' e ait bulduğum ekran görüntülerini paylaşmak istiyorum:

Captcha nedir? Soldaki resimde de görmüş olduğunuz gibi insanların okuyarak anlayacağı karakterlerin oluşturdu resimdir diye kabaca tanımlayabiliriz. Aslında Captcha "Carnegie Mellon School of Computer Science" tarafından başlatılmış bir proje fakat ben işin web kısmı ile ilgilenerek uygulamarından bir tanesini göstereceğim.

Captcha ne gibi faydalar sağlar? Geliştirmiş olduğunuz web uygulamalarında kullanıcıların girdi yaptığı bölümleri kontrol altına almazsanız sitesiniz ve veritabanız bazı saldırılara mağruz kalabilir. Örneğin bir forum sitesini ele alalım. Forumda yazılmış bir yazıya cevap yazmak istiyorsunuz. Biraz araştırmayla eğer kontrolü yapılmıyorsa o yazıya kod ile milyonlarca girdi yapabilirsiniz. Fakat captcha kullanırsanız kod captcha resmindeki karakterleride tanımaya zorlayacaksınız.

Captcha karakterleri kodla çözülemez mi? Çözülebilir! O zaman niye kullanıyoruz diyeceksiniz. Ben de size şöyle cevap vereyim: En güvenli bilgisayar, sahip olmadığınız bilgisayardır! Yani güvenli bilgisayar ya da sistem diye birşey yoktur. Az güvenli ve çok güvenli sistemler vardır.

ASP.NET yazılım geliştiricileri için bir captcha kontrol önermek istiyorum. clearscreen.com tarafından geliştirilen bir captcha kontrolü. Web uygulamalarınızda sürükle bırak yaparak kullanabileceğiniz bir kontrol. Kontrol ddl'sini bu bağlantıdan indirebilirsiniz.  Kontrol kullanımında zorluk yaşarsanız bu iletiye yorum bırakabilirsiniz. Böylece sorun yaşayan başka insanlara da aynı anda cevap vermiş olurum. 

İyi çalışmalar dilerim ;)

 

Geliştirdiğim websitelerden bir tanesine üç tane hacker arkadaşın saldırmasından sonra güvenliğe gereken önem vermeye başladım. Tam olarak ne zaman güvenliğin üzerine ciddi olarak eğilmeye başladığımı hatırlamıyorum fakat öğrendiğim bazı şeylerin olgunlaştığını düşündüm ve günlüğüme birşeyler karalamak istedim. Bu yazım SQL Injection'dan korunmak için yapılması gerekenlerinlerin başlıklarından ve ipuçlarından oluşacak. Vereceğim bilgiler güvenilir kaynakların taranması sonucu olgunlaşan veriler. Eğer SQL Injection üzerine detaylı bir araştırma yaparsanız benim ulaştığım önemli noktalara ulaşabilirsiniz. Yazımda yararlandığım kaynaklar:

• Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions (ISBN: 978-0-07-149461-8) 
• MSDN
• http://asp.net

SQL Injection nasıl yapılır?

Veritabanında yaptığınız insert, update, delete gibi komutlara kullanıcı girdisinin müdehale etmesiyle gerçekleşir. Müdehale etmesi derken, saldırıyı yapan kişi veritabanı üzerinde yönetici olarak yapılabilecek bütün işlemleri gerçekleştirebilir. Hatta veritabanını silebilir... SQL Injection' nın verebileceği zararları anlatan onlarca kaynak var. Bu yüzden ben bu kaynakların araştırılması sonucu derlenmiş çözüm başlıklarını vereceğim. Bahseceğim çözüm önerilerini araştırdığınızda yapmanız gerekenleri öğreneceksiniz. Ama araştırmadan önce de bir klavuza ihtiyacınız var. İşte çözüm yolları:

 

1. Querystring Verilerini Kontrol Ettirin

Kullanıcılar sayfalar arasında veri transferi için kullandığınız querystring değerlerini görebilirler. Bunun için bu verileri kontrol ettirmeden SQL komutlarınızın içinde kullanmamanız gerekir. Örnek vermek gerekirse: bir tablonuzdan ID değerini baz alarak "ad" diye bir veri çektireceksiniz. Tablonuzu oluştururken ID değerini integer olarak tanımladınız. ID'nin bir integer mı yoksa tipik bir sql injection cümleciği olan ' OR 1=1 -- mi olduğunu kontrol ettirmeniz gerekir. Bu örnek için ID' nin bir integer mı yoksa string mi olduğunu kontrol ettirebilirsiniz. Böylece string veri türünde kullanıcı querystring'e değer atadığında kodunuz hata verecektir.

Bu verdiğim örnek sadece bir senaryo için geçerli. Güvenlik söz konusu olduğu zaman bütün ihtimalleri göz önünde bulundurarak önem alın ve asla kullanıcı girdilerine güvenmeyin! Querystring'lerden gelen saldırıları önlemek için "sql injection querystring" anahtar kelimeleri ile google da arattığınız zaman bahsettiğim korunma yöntemi ile ilgili bilgiye sahip olacağınızı düşünüyorum.

 

2. Parametreler Kullanın

Yukarıda verdiğim ID örneğinden gidersek anlatacağım husus daha iyi anlaşılır. C# kullanarak iki türli sql komutu yazabilirsiz:

Birinci örnek: "SELECT * FROM tablo_test WHERE ID='" + ID + "'"; 

İkinci örnek:  "SELECT * FROM tablo_test WHERE ID=@ID";

Bu ikinci örnekte @ID diyerek ID' nin değerinin bir parametreye atıyorsunuz. Bunun yapmak ne işinize yarayacak? Eğer birinci örnekteki gibi yaparsanız kullanıcı girdisi olan ID değeri direk olarak SQL komutuna dahil olacaktır. Eğer kullanıcı biraz art niyetli biriyse ve ID değerine ' OR 1=1 gibi şeyler yazarsa bütün kayıtları görebilecektir. Eğer bu SQL komutu bir login kontrolü için yapılıyorsa bunu yazan kişi sisteme giriş yapabilecektir.

Bunu engellemek için ikinci örnekteki gibi parametre kullanmalıyız. Böylece ASP.NET' e şunu söylemiş oluyoruz: Kullanıcıdan gelen değer sadece parametre değeridir, bir SQL komutu değildir. Böylece ASP.NET sayfamızda buna göre davranarak hata verecektir.

Anlattığım hususun kodlarını ve gerçek uygulamasını görmek için "sql injection sql parameter" anahtar kelimelerini aramanız için öneririm.

 

3. Hata Mesajlarını Gizleyin

Saldırı yapanlar genellikle sisteme hata verdirerek veritabanı bilgilerini öğrenmeyi hedeflerler. Eğer sistemin verdiği hataları cömertçe kullanıcılara gösteriyorsanız ASP.NET sayfanız saldıranlara eğitim içerikli hatalar verecektir. Bu verilen hatalar içerisinde tablo ve field isimleri geçtiği zamanda saldıran kişinin yapması gereken şey doğru SQL komutu ile saldıyı yapmak. Bunun olmasını engellemek için web.config dosyasındaki customErrors tag'ı aşağıdaki gibi olmalıdır:

<customErros mode="On" defaultRedirect="Hata.aspx" />

Böylece sistem bir hata verdiği zaman kullanıcıya eğitici ve açık verici hata sayfaları yerine Hata.aspx  sayfasını göstermiş olacaksınız.

Detaylı bilgi için "sql injection customErrors" anahtar kelimelerini öneririm.

 

4. Şüpheli Karakterleri Temizleyin

SQL komutlarınıza  müdehale ederek veritabanınıza zarar verebilecek komutları engellemek için şüpheli karakterleri temizlemeniz gerekir. Bazı şüpheli karakterler:

"\"", "\\", "/", "*", "'", "=", "-", "#", ";", "<", ">", "+", "%"

Özellikle querysting değerlerinde bu temizlemeyi yapmanızı öneririm. Fakat belirttiğim gibi kullanıcı tarafından gelen bütün girdiler için yukarıda bahsettiğim önlemleri almanız gerekmektedir.

 

Sonuç

Eğer web üzerine uzmanlaşmak istiyorsanız bu söylediğim önerilere kulak vermenizi öneririm. Kullanıcılara yaptığınız uygulamaları açmadan önce sql injection saldırılarına karşı bu önlemleri almazsanız ileride telafisi olmayan sonuçlarla karşılaşabilirsiniz. Bu yazımda sql injection saldırılarına karşı alınabilecek önlemlerin ipuçlarını vermeye çalıştım. Umarım sql injection önlemlerini öğrenirken bu yazı sizlere yol gösterici olur. Başka bir güvenlik yazısında buluşmak üzere...

 

ODTÜ BÖTE' nin verdiği en faydalı derslerden bir tanesi olan "Design, Development & Evaluation of Educational Software" dersinin ilk ödevi üç tane eğitim içerikli oyun hakkındaydı. Bizden bu oyunları inceleyerek oyunlar ve öğrenme arasındaki ilişki üzerine kendi görüşlerimizi belirten bir yazı yazmamız istendi. Derste kopya çekmemizi engellemek amacıyla turnitin isimli bir sisteye ödevlerimizi yüklememiz istendi. Söylenene göre bu site kopyala-yapıştır yaptığınız zaman ya da direk olarak alıntı yapıtğınız zaman yakalıyormuş. Kendi ödevimi sizlerle paylaştığımda bakalım beni yakalayacak mı :) Kendi sitenden kopya çektin diye kimse beni suçlayamaz diye düşünerek ödevimi sizlerle paylaşmak istiyorum. Yazım ingilizce olduğundan Türkçe versiyonunu google translator kullanarak okuyabilirsiniz.İşte ödevim:

 

Games for Learning

Among those games which are given for this assignment “Tomb Rider Game” is the most educational one since all missions and parts of missions are related with learning something. For instance, photosynthesis includes water and sun light for the tree in the game. Purpose is to make tree photosynthesis. In other games learning is used as a tool not a purpose. For example, purpose is to find important points with help of coordinate axes not learning to use coordinate axes in Dimenxian. Maybe this way is the best for game-learning relationship but my personal idea is that learning should be a purpose in the game not a tool since students should be aware what they are doing and why they are doing.

Those games can be even should be used in learning process. These kind of activities save learning from to be monotonous. Moreover, games can be used as a reward in learning process. Students love playing games. According to my experience in METU Collage, students try to finish their assignment as fast as possible to play game after the assignment. If those games are educational, teacher saves one activity’s efficiency for the other. It is clear that instructional games are beneficial for learning and they accelerate the learning. Of course students try to learn some other things instead of their play time but instruction time is not the purpose for a teacher, the main purpose is learning. Therefore, teachers consider not spending time for the instruction, they should consider to the learning since education is not what is taught, education is what is learned!

If I were a teacher of course I want to use games for the instruction. As I mentioned above I have seen that games are the best reward for the students from pre-school to high school even university. Students are crazy to play game in instruction time and they can do given every assignment for it. Not all students love playing game in instruction time but games are needed for misbehavior students. Hardworking students are already doing their assignment. Main purpose should be gaining those misbehavior students. Of course diligent students should not be ignored. Teacher should give them opportunity to improve themselves rather than rest of the class. With this way all type of students are in a harmony when games are used in instruction.

When we are talking about games we know that single player and multiplayer games serve different purposes. I observed children who are playing single player games in METU Collage and my assumptions I mentioned above for the single player games. What is the main difference between single and multiplayer games? Student tries to achieve game missions as a person in single player games. However, students should act as a team in multiplayer games. Only one’s mistake can make team the loser. For this reason, multiplayer games include more variables for learning and so multiplayer games are complex and hard to manage for the learning. Main aspect of multiplayer games is that student learns to act as a team. Other aspects are nearly the same with single player games. Therefore, it is hard to control students when they are playing multiplayer games since teacher dealing with at least two students simultaneously. It explains why METU Collage doesn’t prefer multiplayer games according to my assumptions.

 

Geçtiğimiz günlerde internet explorer' da bir takım açıklar bulundu ve kullanmamamız önerildi. Blog' uma internet explorer kullanmayın diye yazarken aynı zamanda yaptığım web uygulamalarını debug edip internet explorer 7' de çıktılara bakıyordum. Bu işlemi sabahtan akşama kadar yapınca tabi bilgisayarım açıklara kayıtsız kalamadı. Üç gün boyunca çeşitli anti-virüs programlarıyla sistemimi tarattım ve tam kurtuldum derken bilgisayarım açılmamaya karar verdi. Tabiki format gecikmedi...

Peki formattan sonra? Formattan sonra çok güvendiğin KasperSky anti-virüs programını bilgisayarıma kurdum ve derin bir nefes aldım. Fakat daha aldığım nefesi vermeden bilgisayarım bu seferde bana sevdiğim mavi renkte bir ekran açarak "physical memory dump" dedi. Bu sevimli mavi ekranı beş saat boyunca ortadan nasıl kaldırırım diye kendi başıma düşündüm. Google abiye neden sormadın diyeceksiniz tabi fakat internet öyle bir yavaştıki google' ın cemalinden başka sayfa göremiyordum. En son ne yapabiliyorum derken Vista benim için çözüm aramaya başladığı söyledi. Bana hiçbir zaman mantıklı çözümler sunmayan Microsoft' un işletim sistemlerinden en sonuncusu bu kez bana yardımcı olacak gibi çalışıyordu. Bende peki ara bakalım dedim. Bana güvendiğim KasperSky' ı silmemi fakat silmeden öncede bilgisayarımı taratmamı söyledi. Bende işte gene saçmaladı dedim. Fakat kaybedeceğim bir şey olmadığından Vista' nın dediğini yaptım. Bilgisayarım anti-virüs programsız kalıncada bedeva alan programlar arasından AntiVir'i seçtim ve kurdum. 

 

Vista haklı çıktı ve şu an bilgisayarım hata vermeden çalışıyor. Firefox ve internet explorer'da onar sayfa açtım ve o sevimli mavi ekranla karşılaşmadım. Ayrıca internet ve bilgisayarım eski hızına kavuştu. Teşekkürler Vista...

İşte çocuklar bir masalın da sonuna geldik diyeceğim neredeyse :) Olayı daha fazla dramatize etmeden birkaç tavsiyede bulunmak istiyorum. Bilgisayarınızın güvenliği açısından:

• Lisanlı işletim sistemi kullanın
• Güncelleştirmelerinizi otomatik olarak ayarlayın ve eksiksiz kurun
• Ön yargılı olmayın (Özellikle Vista'ya karşı) 
• Crack'lenmiş anti-virüs programları yerine ücretsiz olanlarını tavsiye edin

Beş iş günüme mal olan ve sizlerinde başına gelmesini istemediğim için bu deneyimimi biraz dramatize ederek sizlerle paylaşmak istedim. Umarım faydası olur. 

Geliştirmekte olduğum bir proje sayesinde tecrübe ettiğim bir konuyu paylaşmak istiyorum. Diyelimki bir web projesi yaptınız ve bunu alan adı altında yayınlamak istiyorsunuz. Bu durumda hiçbir sorun yok. Hosting firmanızın site sunduğu olanaklar doğrultusunda bu işlemi kolaylıkla gerçekleştirebilirsiniz. Burda bir sıkıntı yok. Fakat yeni bir proje yaptınız ve bunu da yayınlamak istiyorsunuz. Ama bu yeni projenizi yayınlamak için yeni bir hosting almak istemiyorsunuz. Şayet önceden almış olduğunuz veri barındırma hizmeti ilave web alanı, veri tabanı alanı, vs. içerisiyorsa eski barındırma hizmetinizden yararlanabilirsiniz.

Öncelikle yapmanız gereken yeni projeniz için bir alan adı satın almak.Bu alan adını satın alacağınız kurumun "URL Forwading" yani alan adı yönlendirme desteği olduğundan emin olun (name.com bu konuda iyidir). Sonrasında yaptığınız projenin web dosyalarını önceden satın aldığınız hosting deki ana dizininde bir klasör açarak içine kopyalayın. Daha sonra alan adını satın aldığınız sitenin yönetim sayfasından yönlendirme işlemini gerçekleştirin.

Örnek olarak Fire Messenger projemizi örnek verebilirim. Name.com' dan www.firemessenger.net alan adını satın aldım ve kendi siteme yönlendirdim.  Fire Messenger linkine tıklayarak test edebilirsiniz. Bu projenin detaylı sayfasını oluşturmadığım için yönlendirmeyi ana sayfaya yaptım. Fakat dediğim gibi dogancakmak.com/firemessenger/default.aspx gibi bir yönlendirme yapmakta mümkün.

Bu yöntem kullanıcı girişi gerekmeyen projeler için kullanmak için birebir. Oturum açma gerektiren yani sadece güvenli kullanıcıların ulaşabileceği bir sistemi bu şekilde kurmak biraz sıkıntılı... Buna çözüm önerilerimi başka bir yazıda inceliyor olacağım.