Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
SQL využíva programovacie techniky známej ako " dynamické SQL . " Úplný text v dynamickom príkaze SQL alebo príkazu , nie je známe , kedy je program zostavený , ale je postavený , dynamicky , od zadávanie dát užívateľom , ak je program spustený . Útočník ukončí vyrobené príkaz predčasne a pripojí nový príkaz , zakončené znakom komentáre , napr " - " , takže akékoľvek následné texte je ignorovaný v čase spustenia . V trochu sofistikovanejšie forme SQL injection , útočník vstrekuje škodlivý kód do dát , ktoré sú uložené v databáze , ak je uložené dáta načítaná a použitá na vytvorenie dynamického príkazu SQL , škodlivý kód je vykonaný
< . br >
Účinky
Presne to , čo útočníci môžu dosiahnuť tým , SQL injection , závisí na ich fantáziu a zručnosti , ale typické dôsledky SQL injekcie sú strata dôverne , strata integrity dát a problémy spojené s autentizácia , alebo povolenie , užívateľov databázy . Ak je informácia o povolenie sa koná v samotnej databáze , môže SQL injection extrahovať informácie , alebo ju upraviť tak , aby neoprávnení používatelia môžu pripojiť k databáze .
Postihnuté plošiny
SQL injection samozrejme platí SQL , najbežnejšie databázové dopytovací jazyk , ale každá platforma , ktorá vyžaduje interakciu s SQL databáz môžu byť ovplyvnené . Injekcie zraniteľnosti SQL možno ľahko odhaliť a ľahké zneužiť , čo znamená , že SQL injection sa stal spoločný problém s databázou softvérových balíkov a webových stránok , databázy - riadené .
Validation
Ak je útok vstrekuje škodlivý kód SQL , ktorý vykonáva bez chýb , neexistuje žiadny spôsob , ako zistiť SQL injection v rámci počítačového programu . Databáza programátori preto musí preskúmať všetky programový kód , ktorý konštruuje dynamické príkazy SQL a overiť všetky vstup užívateľa , a to bez akýchkoľvek predpokladov o veľkosti, obsahu alebo typu dát . Útočník môže zámerne vložiť " DROP TABLE " vyhlásenie , alebo nejaký iný , rovnako škodlivý vyhlásenie v textovom poli , takže programátori musia zabezpečiť , že programy sa správajú primerane za takýchto okolností .
Copyright © počítačové znalosti Všetky práva vyhradené