SQL injekcija

Pažeidžiamos kompiuterinės sistemos ir programos:

Tinklalapiai, tinklinės programos

Aprašymas:

SQL injekcija (angl. SQL injection) – paplitęs tinklalapių ir programų, dirbančių su duomenų bazėmis, užvaldymo būdas. Užvaldymas pagrįstas specialaus SQL kodo įterpimu į užklausą. Tokia užklausa, priklausomai nuo duomenų bazės valdymo sistemos ir kitų dalykų, gali leisti:

  • perskaityti lentelių turinį;
  • pašalinti, pakeisti ir pridėti duomenis lentelėje;
  • skaityti (rašyti) failus, esančius atakuojamame serveryje;
  • vykdyti komandas atakuojamame serveryje.

CERT-LT rekomenduoja:

a) rūpintis kokybišku informacinių sistemų programavimu;
b) filtruoti SQL užklausos eilutes ir skaičius;
c) taikyti sudėtingesnius būdus SQL užklausos kontrolės būdus, aprašytus 2-oje nuorodoje.

Informacijos šaltiniai:

http://kb.fortinet.com/kb/documentLink.do?externalID=13832
https://en.wikipedia.org/wiki/SQL_injection#Mitigation

Visos rekomendacijos