Čo je SQL Injection

SQL injection je škodlivý útok na počítačové databázy , čím sa útočník vložky , alebo vstrekuje , SQL dotaz - formálnu žiadosť do databázy - do reťazca , ktorý je nakoniec popravený v databáze ? , pomocou údajov , ktoré vstupuje do počítačového programu . Ak budú úspešní , SQL injection môže získať citlivé dáta z databázy , vložiť , aktualizovať alebo vymazávať údaje , alebo dokonca vypnúť systém pre správu databázy . Vstrekovanie Dynamic SQL

SQL využíva programovacie techniky známej ako " dynamické SQL . " Úplný text v dynamickom príkaze SQL alebo príkazu , nie je známe , kedy je program zostavený , ale je postavený , dynamicky , od zadávanie dát užívateľom , ak je program spustený . Útočník ukončí vyrobené príkaz predčasne a pripojí nový príkaz , zakončené znakom komentáre , napr " - " , takže akékoľvek následné texte je ignorovaný v čase spustenia . V trochu sofistikovanejšie forme SQL injection , útočník vstrekuje škodlivý kód do dát , ktoré sú uložené v databáze , ak je uložené dáta načítaná a použitá na vytvorenie dynamického príkazu SQL , škodlivý kód je vykonaný
< . br >
Účinky

Presne to , čo útočníci môžu dosiahnuť tým , SQL injection , závisí na ich fantáziu a zručnosti , ale typické dôsledky SQL injekcie sú strata dôverne , strata integrity dát a problémy spojené s autentizácia , alebo povolenie , užívateľov databázy . Ak je informácia o povolenie sa koná v samotnej databáze , môže SQL injection extrahovať informácie , alebo ju upraviť tak , aby neoprávnení používatelia môžu pripojiť k databáze .
Postihnuté plošiny

SQL injection samozrejme platí SQL , najbežnejšie databázové dopytovací jazyk , ale každá platforma , ktorá vyžaduje interakciu s SQL databáz môžu byť ovplyvnené . Injekcie zraniteľnosti SQL možno ľahko odhaliť a ľahké zneužiť , čo znamená , že SQL injection sa stal spoločný problém s databázou softvérových balíkov a webových stránok , databázy - riadené .
Validation

Ak je útok vstrekuje škodlivý kód SQL , ktorý vykonáva bez chýb , neexistuje žiadny spôsob , ako zistiť SQL injection v rámci počítačového programu . Databáza programátori preto musí preskúmať všetky programový kód , ktorý konštruuje dynamické príkazy SQL a overiť všetky vstup užívateľa , a to bez akýchkoľvek predpokladov o veľkosti, obsahu alebo typu dát . Útočník môže zámerne vložiť " DROP TABLE " vyhlásenie , alebo nejaký iný , rovnako škodlivý vyhlásenie v textovom poli , takže programátori musia zabezpečiť , že programy sa správajú primerane za takýchto okolností .

• Predchádzajúca strana: Ako nájsť znak v poli Použitie dBASE IV 
• Ďalšia strana: Čo je SQLite databázy ?