Πώς να προστατεύσει το SQL από χορηγείτε Καταστάσεις

Δομημένη γλώσσα ερωτημάτων ( SQL ) είναι μια μέθοδος διαχείρισης των δεδομένων που είναι αποθηκευμένα σε μια βάση δεδομένων . SQL και σχετικές γλώσσες χρησιμοποιούνται συχνά για να διαχειριστεί την ιστοσελίδα συνδρομές και το ηλεκτρονικό εμπόριο . Μια ένεση SQL είναι μια μέθοδος που χρησιμοποιούν ένα ακατάλληλο ερώτημα SQL σε μια ιστοσελίδα για να αποκτήσουν τον έλεγχο της βάσης δεδομένων SQL ή την πρόσβαση σε απόρρητες πληροφορίες , όπως λίστες χρηστών , κωδικούς πρόσβασης και διευθύνσεις ηλεκτρονικού ταχυδρομείου . Η αλλοίωση πρακτικές προγραμματισμού σας μπορεί να προστατεύσει την ιστοσελίδα σας από επιθέσεις SQL ένεση . Οδηγίες
Η 1

Επιλέξτε μια βιβλιοθήκη SQL ή ένα πλαίσιο που δεν επιτρέπει ανεπιβεβαίωτες ερωτήματα υπεύθυνοι για ενέσεις SQL . Κοινή Αδυναμία Καταμέτρηση συνιστά στρώματα επιμονή , όπως αδρανοποίησης και Enterprise Java Beans , που προστατεύουν από την έγχυση SQL , όταν έχει εγκατασταθεί και χρησιμοποιείται σωστά . 2

Διαδικασία ερωτήματα SQL με χρήση αποθηκευμένων διαδικασιών , τα ερωτήματα που δέχονται μόνο μια παράμετρο ή άλλα παρασκευασμένα δηλώσεις αντί αορίστου ερωτήματα . Αποφύγετε δυναμικά την κατασκευή χορδές ερώτημα SQL .
Εικόνων 3

Αποφύγετε εκτέλεση κώδικα με υπερβολικά προνόμια . Δεν είναι όλος ο κώδικας θα πρέπει να διοικείται από έναν λογαριασμό με root ή τον διαχειριστή προνόμια . Αυτό θα μετριάσει τη σοβαρότητα της κάθε κίνδυνο ερώτημα SQL .
Η

4 Επαναλάβετε έλεγχο ασφάλειας και την επικύρωση των εισροών τόσο για την πλευρά του πελάτη και του διακομιστή . Οι επιτιθέμενοι μπορούν να τροποποιήσει τις τιμές διαμετακόμισης ή στον υπολογιστή των χρηστών μετά την επικύρωση των εισροών έχει πραγματοποιηθεί .
5

Escape ειδικούς χαρακτήρες από ερωτήματα SQL . Αυτά μπορεί να περιλαμβάνουν ειδικούς χαρακτήρες , όπως εισαγωγικά ή φορείς , όπως το σύμβολο του ίσον και άσπρο διάστημα .
Η 6

Ας υποθέσουμε ότι όλες οι είσοδοι είναι κακόβουλο ή λανθασμένη . Αντί να χρησιμοποιεί μια μαύρη λίστα των απαράδεκτων χορδές για τα ερωτήματα SQL , χρησιμοποιήστε μία λιστα των γνωστών, καλά διαμορφωμένη ερωτήματα .
Η 7

Περιορίστε εισόδου σε ένα σύνολο αξιών σταθερού εισόδου, όπως στην περίπτωση ενός κατάλογο των κρατών ή χωρών , όταν αυτό είναι δυνατόν .
8

μηνύματα Όριο σφάλματος μόνο ελάχιστες πληροφορίες . Οι επιτιθέμενοι μπορούν να χρησιμοποιούν τις λεπτομερείς μηνύματα λάθους για να αποκτήσουν περισσότερες πληροφορίες για το σύστημά σας . Log τη ρητή σφάλμα σε ένα αρχείο καταγραφής του διακομιστή αντί να εμφανίζει στο χρήστη .
Η 9

Χρησιμοποιήστε ένα τείχος προστασίας για να αμυνθούν κατά ορισμένων SQL ένεση επιθέσεις . Χρησιμοποιήστε αξιόπιστες firewalls που είναι ρυθμισμένα και συντηρούνται σωστά . Ένα τείχος προστασίας δεν αναιρεί την ανάγκη για σωστή προγραμματισμό και δεν θα προστατεύσει από όλα τα τρωτά σημεία .
Η
εικόνων