Автор: Цветелина Николова
Уеб приложенията са изключително удобни и лесни за използване. Ежедневно те се използват за работа, забавление и обучение. Въпреки че сигурността и защитите им се подобряват постоянно, хакерите имат много методи за атаки, като непрекъснато се появяват и нови такива. За да се защити едно приложение, разработчикът постоянно трябва да следи тенденциите в развитието на атаките и да надгражда с допълнителни защити продукта си.
Чрез създаден поток от входни данни (user input) и при наличие на технологични пропуски, хакер може да добави съдържание на сървъра, включващо зловреден код, извикване на команди за операционната система или посредством SQL заявки да модифицира информация, съхранена в базата данни (SQL-Injection).
SQL инжектирането се основава на грешка на програмиста, при която не се валидира информацията, подадена към базата данни. Понякога не се филтрира и върнатият резултат, при което се разкриват ценни данни и пътища.
За да се ограничат и дори напълно избегнат подобен тип атаки, данните, подавани от потребителя, винаги трябва да бъдат валидирани от приложението, преди да бъдат използвани в SQL конструкции.
Първата стъпка при защита от SQL инжекции е валидацията на входните данни.
Цялата статия е публикувана в брой 111 на сп. Българска наука: тук!
Абонирайте се за списанието тук!
