комп’ютери

Атаки ін'єкцій SQL

Грудень 2021

Атаки ін'єкцій SQL


Якщо ви берете дані користувачів для будь-якого запиту SQL, обов'язково потрібно перевірити кожне поле, яке ви використовуєте. В іншому випадку ваші дані можуть бути пошкоджені при атаці ін'єкції SQL.

Основна проблема тут полягає в тому, що команди SQL бачать "" як індикатор коментаря. Отже, по суті, хтось, використовуючи вашу форму, може вставити будь-які команди SQL, які вони хочуть, у вашу форму - і ви, швидше за все, передасте їх прямо до бази даних для виконання.

Скажімо, ви запитаєте у користувача його електронну адресу та дозволите їм змінити його. У вас запущений сценарій оновлення, який говорить

оновити людей, встановити електронну пошту = '....

а потім ви вводите те, що ввів користувач. Але скажімо, що вони НЕ просто ввели адресу електронної пошти. Скажімо, вони включають щось подібне

'де 1 = 1' '

тепер буде прочитаний весь SQL

оновити людей встановити email = '' де 1 = 1 '' ...

і все, що настане після цього рядка, буде повністю проігноровано. Тож тепер вся ваша база даних буде оновлюватися сміттям, через що ця одна людина ввійшла у вашу систему.

Немає способу "зупинити" SQL від цього. Це те, що він робить, виконує команди. Ваше завдання системного адміністратора ЗАБЕЗПЕЧИТИ, що кожна команда, яку ви передаєте SQL, є на 100% правильною та дійсною. Це означає, що КОЖНА окрема форма, в яку ви берете дані, повинна бути перевірена всіма можливими способами, щоб переконатися, що вона містить лише відповідні дані. Хакери просто люблять корупціонувати народні системи заради розваги.

Отже, важливі речі:

* Обрізати введення якомога коротше поле
* Перевірте "" та видаліть їх
* Якщо можливо, усуньте що-небудь, крім букв і цифр
* Використовуйте cInt і cLng, де це можливо, щоб забезпечити введення лише цифр
* Переслідувати будь-яких хакерів, які намагаються напасти, тому вони зупиняються!

Как хакеры делают SQL Injection и XSS атаки (Грудень 2021)



Теги Статті: SQL-ін'єкційні атаки, ASP, атаки SQL-ін'єкцій, атака SQL-ін'єкції, форма html, поле введення html, форма asp, поле введення asp.

Популярні Пости Про Красу

Легке в'язане ковдру для ляльок

Легке в'язане ковдру для ляльок

захоплення та ремесла

Більше трав для Tussie Mussies

Більше трав для Tussie Mussies

будинок та сад

Поцілунок Демона

Поцілунок Демона

книги та музика