Заплахи към уеб приложения – SQL-Injection

Share on facebook
Share on twitter
Share on linkedin
Share on email

Автор: Цветелина Николова

 

Уеб приложенията са изключително удобни и лесни за използване. Ежедневно те се използват за работа, забавление и обучение. Въпреки че сигурността и защитите им се подобряват постоянно, хакерите имат много методи за атаки, като непрекъснато се появяват и нови такива. За да се защити едно приложение, разработчикът постоянно трябва да следи тенденциите в развитието на атаките и да надгражда с допълнителни защити продукта си.

Чрез създаден поток от входни данни (user input) и при наличие на технологични пропуски, хакер може да добави съдържание на сървъра, включващо зловреден код, извикване на команди за операционната система или посредством SQL заявки да модифицира информация, съхранена в базата данни (SQL-Injection).

SQL инжектирането се основава на грешка на програмиста, при която не се валидира информацията, подадена към базата данни. Понякога не се филтрира и върнатият резултат, при което се разкриват ценни данни и пътища.


РЕКЛАМА:

***

За да се ограничат и дори напълно избегнат подобен тип атаки, данните, подавани от потребителя, винаги трябва да бъдат валидирани от приложението, преди да бъдат използвани в SQL конструкции.

Първата стъпка при защита от SQL инжекции е валидацията на входните данни.

 

Цялата статия е публикувана в брой 111 на сп. Българска наука: тук!

Абонирайте се за списанието тук!