Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност
бр. 11, 2018

Как да се предпазим от SQL инжекция

Съществуват няколко типа SQL инжекции (SQLi), но всичките са свързани с хакер, който включва произволен SQL в заявка към база данни на уеб приложение

от , 19 ноември 2018 0 261 прочитания,

Джей Ем Поръп, CSO, САЩ

Преди да заговорим за това как да се предпазим от SQL инжекция, нека първо обясним какво представлява тя. Инжекцията в езика за структурирани заявки (SQL) е тип атака, която дава пълен контрол на злонамерено лице върху базата данни на вашето уеб приложение чрез включване на произволен SQL в заявка към нея.

Как да се предпазим от SQL инжекция

SQL инжекцията (SQLi) е открита за пръв път през 1998 г., но все още продължава да заразява уеб приложения в интернет. Отвореният проект за сигурност на уеб приложения (OWASP) дори сочи инжекцията като заплаха номер едно за сигурността на уеб приложенията.

Добрата новина? SQLi е най-ниският от висящите ниско плодове както за хакери, така и за защитници. SQLi не е нещо от рода на иновативния комплект NSA Shadow Brokers. Тя е толкова проста, че и тригодишно дете може да я използва. Коригирането на уеб приложението в посока намаляване на риска от SQLi е толкова лесно, че би означавало проява на груба небрежност, ако не го направите.

Типове SQL инжекции

Съществуват няколко типа SQL инжекции, но всичките са свързани с хакер, който включва произволен SQL в заявка към база данни на уеб приложение. Най-простата форма на SQL инжекция е чрез въвеждане на данни от потребител. Уеб приложенията обикновено приемат тази информация през формуляр, а интерфейсът с потребителя предава неговите данни към базата данни за обработка. Ако уеб приложението не успее да „прочисти“ въведените от потребителя данни, хакерът може да „инжектира“ SQL по свой избор в базата данни и да изтрие, копира или промени нейното съдържание.

За да прочетете цялата статия, е нужен абонамент.

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия | Декларация за поверителност | Политика за бисквитки |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов