1. Привет Гость!

    Не пропусти!!!

    Мы запустили новую акцию- VIP статус в подарок !


    Узнать подробней
  2. Получи доступ со скидкой -30%


    И скачивай файлы без ограничений!


    Подробнее

Что такое SQL инъекция?

Тема в разделе "Статьи для вебмастера", создана пользователем Trinixy, 06.02.16.

  1. Admin Post
    Trinixy

    Trinixy Команда форума Администратор

    2.350
    893
    SQL injection – это один из самых популярных способов взлома веб-ресурсов и программных обеспечений, которые работают с базами данных. Эта процедура основана на внедрение произвольного кода SQL в запросы пользователей.

    SQL инъекция дает возможность взломщику получить доступ к базам данных, а также изменить их. Локальные файлы, расположенные на сервере, могут быть удалены или записаны, возможно выполнение неверных скриптов.

    Такая атака может быть осуществлена из-за некоторой специфики кода. Для того, чтобы избежать эту проблему, необходимо составлять качественный и неуязвимый код. Любой разработчик должен знать о подобных уязвимостях и уметь с ними бороться.

    Какие цели преследуют создатели вредоносных инструкций?
    Как правило, атаки совершаются с целью получения информации о пользователях системы. Это объясняется и желанием конкурентов переманить к себе клиентов, или сломать систему другой организации. Однако, существуют и люди, которые свершают такие действия с целью развлечения.

    Следующий неприятный момент, о котором должен знать читатель – это возможность создания нового пользователя при внедрении инъекции, которые будет наделен правами суперпользователя. В таком случае база может быть подвержена конфигурации извне.

    Как бороться с этой проблемой?
    Прежде всего, о качестве кода должен позаботиться разработчик. Им должен быть создан код, который не смогут обойти ограничения доступа.

    Помимо того, если база данных выступает частью открытого ресурса с инсталляцией по умолчанию, то информация становится доступной для любого пользователя. Тем не менее, информацию можно получить и из усложненного и закодированного проекта. Уязвим даже личный код об ошибках, который отображается в сообщениях. Не стоит также называть столбцы и таблицы легко угадываемыми названиями.

    Соединение с базой данных должно проводиться посредством использования специально созданных пользователей, права которых максимально ограничены. Следует применять специальные расширения, такие как MySQLi или PDO и другие библиотеки. При цифровом вводе лучше применять функции типа ctype_digit().

    P.S. Если вы не уверены в надежности своего ресурса, то можете заказать анализ сайта у специалитов. Проведя анализ, будут выявлены слабые, уязвимые стороны сайта, над которыми нужно работать.
     

    Не знаешь как скачать файлы ?   Не задавай вопросов   -   Смотри видео
  2. Инфо.Бот

    Trinixy.info Trinixy.info

    - Все новые сообщения, проходят модерацию. Читаем - Правила и условия
       (собщения типа спасибо, спс, cool, и т.п., - будут удалятся)
    - Не вижу ссылки на файл. Смотрим видео - Как скачивать файлы
       (подобные сообщения - будут удалятся)
    - Как набрать симпатии? Читать ТУТ
       (симпатии важная вещь у нас на форуме)
    - Качать всё без ограничений? VIP аккаунт ТУТ
       (Вы можете скачивать все без ограничения!!!)
     
  3. Салим Арипов

    Салим Арипов Проверенные

    7
    1
    Знакомая тема, спасибо за статью)
     

  4. Ivaor

    Ivaor Проверенные

    8
    0
    Вот это то, что нужно!
     

  5. ispex

    ispex Друг

    2
    0
    Спасибо ! отличная статья
     

  6. iMorgan

    iMorgan Друг

    1
    0
    Можно было лучше оформить!
     

Загрузка...
Похожие темы
  1. Cyber
    Ответов:
    2
    Просмотров:
    506
  2. Cyber
    Ответов:
    0
    Просмотров:
    614
  3. Trinixy
    Ответов:
    0
    Просмотров:
    1.101
  4. Trinixy
    Ответов:
    1
    Просмотров:
    1.528
  5. Trinixy
    Ответов:
    22
    Просмотров:
    2.042

Поделиться этой страницей

Загрузка...