Čo je to SQL útok ?

SQL útok , alebo SQL injection útok , zahŕňa vloženie alebo injekcie , škodlivého kódu do hodnoty alebo premenné, ktoré užívateľ zadá do počítačového programu . Škodlivý kód je spojený , alebo spojené s legitímnym SQL príkazy pre vytvorenie príkazu , ktorý vytvára neočakávané výsledky . SQL

SQL , tiež známy ako štruktúra opytovací jazyk , je priemysel - štandardný jazyk pre vytváranie , aktualizáciu a dotazovanie relačnej databázy alebo databázy , ktoré obsahujú viac súborov súvisiacich informácií , obvykle uložené v tabuľkách riadkov a stĺpce . SQL je často začlenený do univerzálnych programovacích jazykov vytvoriť programy , ktoré umožňujú užívateľovi komunikovať s databázou . Program môže zahŕňať príkazy SQL , ako napríklad " SELECT * FROM tablename KDE tablename . Fieldname = variablename " , v ktorom názov_tabuľky je názov tabuľky v databáze , fieldname je názov stĺpca alebo oblasti , v tejto tabuľke , a meno premennej je hodnota vstupnej užívateľom .
Závažnosť

Závažnosť SQL útoku je obmedzený len predstavivosťou útočníka a zručnosti . Strategicky vložením bodkočiarku ( ;) a dvojitou pomlčku ( - ) , znaky - ktoré vymedzujú príkazy a pripomienky SQL , respektíve - útočníci môžu ukončiť existujúce príkazy predčasne a pridať svoje vlastné nové príkazy . Tieto nové príkazy môžu napríklad extrahovať citlivé dáta z databázy , meniť či odstraňovať dáta alebo udeliť útočníkom plná administrátorské práva k databáze . Vo vyššie uvedenom príklade , ak SQL čítať " SELECT * FROM tablename KDE tablename fieldname = . ' " + Variablename + ' " , používateľ môže zadať ďalšie príkazy SQL a tak zostaviť dotazu niečo ako " SELECT * FROM tabulka.sloupec = ' somevalue ' ; . DROP TABLE tablename
efekty

SQL útoky zvyčajne vedie k strate dôvernosti a integrity dát , ako aj ďalšie závažné problémy , takže organizácia by mala hrozbu SQL útokov vážne . SQL útoky sa zvyčajne vyskytujú pri údaje zadá program z nedôveryhodného zdroja , alebo dáta sú využívané k dynamicky vytvoriť SQL dotazu , alebo oboje . SQL útoky môžu samozrejme ovplyvniť SQL samotný , ale aj akákoľvek platforma , ktorá vyžaduje interakciu s SQL databázou . Webové stránky databázy - riadené sú spoločné ciele pre SQL , jednoducho preto , že útočníci môžu detekovať a využívať SQL chyby ľahko .
Prevencia

Za predpokladu , že kód SQL vstrekovaním počas SQL útoku obsahuje žiadne syntaktické chyby , bude úspešne spustiť a nie je možné zistiť programovo . Databáza programátori preto vyhodnotí akékoľvek užívateľský vstup a starostlivo skúmať akýkoľvek programový kód , ktorý konštruuje a spustí dynamické príkazy SQL pre zraniteľnosti .

• Predchádzajúca strana: Ako môžem odinštalovať Memeo 
• Ďalšia strana: Ako pridať veľa záznamov do databáz Oracle