Ako blokovať SQL injekcie

SQL injection je forma sieťového útoku , ktorý zahŕňa kód " injekčného " do databázy v snahe donútiť program dotazu databáza vráti chybu a dať vstrekovače nejaké informácie o oboch databáz a informácií v rámci to . To možno vykonať z akejkoľvek webovej stránky , ktorá funguje ako portál k nezabezpečenej databáze a nie je dezinfikovať svoje otázky . Pokyny dovolená 1

Uistite sa , že zadáte typ príkon pri písaní SQL kódu dotazu. Väčšina vývojové prostredie umožňuje zadať reťazec " " , " číslo " alebo " dátum " . Napríklad , URL

http://mysite.com/listauthordetails.aspx?user_id=1234

je interpretovaný v databáze ako

SELECT FIRST_NAME , last_name od užívateľov KDE USER_ID = '1234 '

Tento dotaz možno prepísať do

Dim ID ako String = Request.QueryString ( " id " )

Dim cmd ako novú SqlCommand ( " SELECT USER_ID od užívateľov WHERE USER_ID = @ USER_ID " )

Dim param = new SqlParameter ( " USER_ID " , SqlDbType.VarChar )

param.Value = ID

cmd . Parameters.Add ( param )

Tento kód chráni dodatočné informácie boli pripojené na koniec dotazu SQL , a len odovzdáva výsledok žiadosti o USER_ID .
2

použite . htaccess blokovať nelegitímne požiadavky , než sú odovzdané do databázy , pomocou RewriteCond príkazu ( ) . Napríklad blokovať skript sa snaží zmeniť na žiadosť premennú , použite riadky " RewriteCond % { QUERY_STRING } _REQUEST ( =

• Predchádzajúca strana: Čo je WPA2 Zabezpečenie 
• Ďalšia strana: Ako používať BackTrack a Aircrack