1. Гость, Нет времени набирать посты, чтобы открыть HIDE ? Теперь есть решение, станьте Членом Клуба!
  2. Новые покупки

    29.03.2017: Обучающий видеокурс по Visual Composer for WP

    18.03.2017: Методика по наполнению сайта (2016)

    16.03.2017: ВИДЕОКУРС «ТВОЕ ИДЕАЛЬНОЕ СВИДАНИЕ»

    13.03.2017: Астахова - Триначальный Фэн Шуй

    13.03.2017: Андреева - Дворцы судьбы

    13.03.2017: Пэх - Четыре столпа судьбы для профессионалов (уровень 3)

    13.03.2017: Пэх - Четыре столпа судьбы для профессионалов (уровень 2)

    13.03.2017: Пэх - Четыре столпа судьбы для профессионалов (уровень 1)

    13.03.2017: Плотников - Как читать судьбу по ци мень дун цзя

    13.03.2017: Как иммигрировать в Канаду

    13.03.2017: Цыганова - Найди и выбери любовь!

    13.03.2017: Зайцева - Практикум по системе 12 дворцов

    12.03.2017: Алешкина - Марафон по детскому сну

    12.03.2017: Цыганова- Фен-шуй продвинутый уровень 1,2

    12.03.2017: Сбитнев - выбор дат в системе да лю жэнь

    12.03.2017: Левандовский - ЦМДЗ (3 и 4 модуль)

    11.03.2017: Цыганова, Чой - Фен-шуй для строительства жилого дома

    11.03.2017: Хесс - Прорицание Цветение сливы

    11.03.2017: Ю - Цзы вэй доу шу

    11.03.2017: Щербакова - Классический фен-шуй для жизни

  3. Нужен организатор

    29.03.2017: Обучающий видеокурс по Visual Composer for WP

    18.03.2017: Методика по наполнению сайта (2016)

    16.03.2017: ВИДЕОКУРС «ТВОЕ ИДЕАЛЬНОЕ СВИДАНИЕ»

    13.03.2017: Астахова - Триначальный Фэн Шуй

    13.03.2017: Андреева - Дворцы судьбы

    13.03.2017: Пэх - Четыре столпа судьбы для профессионалов (уровень 3)

    13.03.2017: Пэх - Четыре столпа судьбы для профессионалов (уровень 2)

    13.03.2017: Пэх - Четыре столпа судьбы для профессионалов (уровень 1)

    13.03.2017: Плотников - Как читать судьбу по ци мень дун цзя

    13.03.2017: Как иммигрировать в Канаду

    13.03.2017: Цыганова - Найди и выбери любовь!

    13.03.2017: Зайцева - Практикум по системе 12 дворцов

    12.03.2017: Алешкина - Марафон по детскому сну

    12.03.2017: Цыганова- Фен-шуй продвинутый уровень 1,2

    12.03.2017: Сбитнев - выбор дат в системе да лю жэнь

    12.03.2017: Левандовский - ЦМДЗ (3 и 4 модуль)

    11.03.2017: Цыганова, Чой - Фен-шуй для строительства жилого дома

    11.03.2017: Хесс - Прорицание Цветение сливы

    11.03.2017: Ю - Цзы вэй доу шу

    11.03.2017: Щербакова - Классический фен-шуй для жизни

Скрыть объявление
allnulled

Большая база в Рунете. Более 17 000 курсов ! Присоединяйся :)

Быстрая регистрация

Что такое SQL инъекция?

Тема в разделе "Администрирование", создана пользователем allnulled, 17 июл 2016.

  1. TS
    allnulled

    allnulled Администраторы Команда форума Администраторы

    Регистрация:
    2 фев 2015
    Сообщения:
    18.961
    Симпатии:
    1.279
    Баллы:
    113
    Рейтинги:
    +1.350 / 323 / -3
    SQL injection – это один из самых популярных способов взлома веб-ресурсов и программных обеспечений, которые работают с базами данных. Эта процедура основана на внедрение произвольного кода SQL в запросы пользователей.

    SQL инъекция дает возможность взломщику получить доступ к базам данных, а также изменить их. Локальные файлы, расположенные на сервере, могут быть удалены или записаны, возможно выполнение неверных скриптов.

    Такая атака может быть осуществлена из-за некоторой специфики кода. Для того, чтобы избежать эту проблему, необходимо составлять качественный и неуязвимый код. Любой разработчик должен знать о подобных уязвимостях и уметь с ними бороться.

    Какие цели преследуют создатели вредоносных инструкций?
    Как правило, атаки совершаются с целью получения информации о пользователях системы. Это объясняется и желанием конкурентов переманить к себе клиентов, или сломать систему другой организации. Однако, существуют и люди, которые свершают такие действия с целью развлечения.

    Следующий неприятный момент, о котором должен знать читатель – это возможность создания нового пользователя при внедрении инъекции, которые будет наделен правами суперпользователя. В таком случае база может быть подвержена конфигурации извне.

    Как бороться с этой проблемой?
    Прежде всего, о качестве кода должен позаботиться разработчик. Им должен быть создан код, который не смогут обойти ограничения доступа.

    Помимо того, если база данных выступает частью открытого ресурса с инсталляцией по умолчанию, то информация становится доступной для любого пользователя. Тем не менее, информацию можно получить и из усложненного и закодированного проекта. Уязвим даже личный код об ошибках, который отображается в сообщениях. Не стоит также называть столбцы и таблицы легко угадываемыми названиями.

    Соединение с базой данных должно проводиться посредством использования специально созданных пользователей, права которых максимально ограничены. Следует применять специальные расширения, такие как MySQLi или PDO и другие библиотеки. При цифровом вводе лучше применять функции типа ctype_digit().

    P.S. Если вы не уверены в надежности своего ресурса, то можете заказать анализ сайта у специалитов. Проведя анализ, будут выявлены слабые, уязвимые стороны сайта, над которыми нужно работать.
     
  2. Загрузка...


Пользователи, которые прочитали эту тему (Всего: 0)

Поделиться этой страницей