Тематические статьи →

SQL-инъекции — распространённый метод взлома веб-приложений и сайтов

SQL-инъ­ек­ции — это один из очень рас­про­странён­ных спо­со­бов взлома сай­тов и веб-при­ло­же­ний, рабо­та­ю­щих с базами дан­ных. Этот спо­соб осно­ван на внед­ре­нии в выпол­ня­е­мый при­ло­же­нием запрос к базе дан­ных про­из­воль­ного SQL-кода, пере­дан­ного злоумышленником.

SQL-инъ­ек­ции, в зави­си­мо­сти от типа уяз­ви­мо­сти, может дать воз­мож­ность ата­ку­ю­щему выпол­нить про­из­воль­ный запрос к базе дан­ных. То есть ата­ку­ю­щий смо­жет про­чи­тать содер­жи­мое любых таб­лиц, уда­лить, изме­нить или доба­вить дан­ные, а также есть веро­ят­ность полу­че­ния воз­мож­но­сти работы с локаль­ными фай­лами и выпол­не­ния про­из­воль­ных команд на ата­ку­е­мом сер­ве­ре.

Атаки типа внед­ре­ния SQL ста­но­вятся воз­мож­ными из-за некор­рект­ной обра­ботки при­ло­же­нием вход­ных дан­ных. Раз­ра­бот­чики сай­тов и при­ло­же­ний, рабо­та­ю­щих с базами дан­ных, должны знать о таких уяз­ви­мо­стях и при­ни­мать меры про­ти­во­дей­ствия.

С точки зрения безопасности сайта или веб-приложения, наи­бо­лее пра­виль­ной явля­ется филь­тра­ция всех полу­чен­ных дан­ных (при­ло­же­ние в прин­ципе не должно при­ни­мать в обра­ботку те пара­мет­ры, кото­рые непо­нятно зачем были пере­даны) и про­ду­ман­ная обра­ботка тех пара­мет­ров, кото­рые исполь­зу­ются для постро­е­ния запроса к базе дан­ных. Основ­ными направ­ле­ни­ями обра­ботки должны являть­ся:

  • экра­ни­ро­ва­ние спе­ци­аль­ных сим­во­лов в полу­чен­ных стро­ко­вых параметрах,
  • при­ве­де­ние полу­чен­ных дан­ных к ожи­да­е­мому при­ло­же­нием типу,
  • усе­че­ние полу­чен­ных пара­мет­ров (длина инъ­ек­ций, как пра­ви­ло, доста­точно велика),
  • филь­тра­ция по клю­че­вым сло­вам и после­ду­ю­щий бан атакующего,
  • исполь­зо­ва­ние пара­мет­ри­зо­ван­ных запро­сов (запрос пере­даётся отдельно от пара­мет­ров).

Поделитесь с друзьями:


Информация о публикации:

Материал опубликован в 2014 году. Эта статья о веб-разработке и о веб-технологиях. При пере­пуб­ли­ка­ции обя­за­тельно ука­за­ние пер­во­ис­точ­ника в виде гипер­тек­сто­вой ссылки на сайт web-creator.ru

Воспользуйтесь нашими
знаниями и опытом

Отправьте нам сообщение при помощи формы. Или напишите на e-mail s@web-creator.ru

Мы максимально оперативно ответим Вам по электронной почте или перезвоним.

При отправке сообщения через форму, укажите пожалуйста предпочтительный способ связи с Вами: телефон или адрес электронной почты. Мы сможем ответить Вам подробнее, если Вы напишете что-то о запланированном проекте или предполагаемых задачах.

Либо просто позвоните нам по номеру: +7 495 215-1501

Мы работаем по будним дням с 10 до 19 часов.

Комплексные услуги

Реализация «под ключ» проектов по созданию различных видов сайтов, разработка веб-приложений для автоматизации бизнес-процессов, ведение контекстных и медийных рекламных кампаний, поисковое продвижение, комплексная поддержка веб-проектов, консалтинговые услуги.