Spis treściKliknij link, aby przejść do wybranego miejsca
Ta treść została automatycznie przetłumaczona z ukraińskiego.
SQL Injection (SQLI) - to typ ataku na aplikacje internetowe, podczas którego złośliwy użytkownik wprowadza kod SQL do danych wejściowych, które są przetwarzane przez serwer bazy danych. Główna idea polega na tym, że atakujący modyfikuje zapytanie do bazy danych, a tym samym może uzyskać nieautoryzowany dostęp do informacji lub nawet zmienić lub usunąć dane w bazie danych. SQL-iniekcja wygląda mniej więcej tak:
Wprowadzenie danych
Złośliwy użytkownik wprowadza kod SQL w formularzu internetowym lub parametrze URL, który następnie jest przesyłany na serwer.
Przetwarzanie zapytania
Aplikacja internetowa nieprawidłowo przetwarza wprowadzone dane i włącza je do zapytania SQL.
Wykonanie zapytania SQL
Złośliwy użytkownik uruchamia kod SQL na serwerze bazy danych, co może prowadzić do różnych konsekwencji.
Programiści muszą zapewnić bezpieczeństwo aplikacji, a testerzy sprawdzić wszystkie możliwe (na ile to możliwe) warianty podatności. Regularne penetration testing również jest dobrą praktyką wykrywania i zapobiegania podatnościom.
