سفارش تبلیغ
صبا ویژن

آموزش برنامه نویسی

SQL injection چیست و چگونه از آن جلوگیری کنیم ؟

SQL injection چیست جلوگیری از آن – تزریق SQL یکی از محبوب ترین باگ های نفوذ گران دنیا وب است به طوری که بیشترین سهم را در هک وبسایت دارد .

 

در صورتی که برنامه نویس با این باگ خطرناک آشنا نباشد با کدنویسی غیر ایمن باعث به خطر افتادن وبسایت می شود .

 

  چیست SQL injection

 

1- ابتدا کاربر با اضافه کردن ‘ در متغیری که بدون بررسی ورودی انجام شود درخواست را می فرستد تا بررسی کند که آیا دارای باگ SQLi می باشد یا خیر . در صورتی که باگ وجود داشت دستور های MYSQL را تزریق می کند .

2- اطلاعات را به سرور می فرستد تا بررسی شود . کد های برنامه نویس که بدون هیچ بررسی ورودی کاربر دریافت کرده و پردازش می کند .

3- اطلاعات ورودی کاربر ( همان اطلاعاتی که هکر تزریق کرده ) را به دیتابیس می فرستد .

4- دیتابیس با توجه به query پاسخ می دهد و مجدد به سرور می فرستد .

5- سرور اطلاعات ( رکورد های ) دریافت شده از دیتابیس را دریافت کرده و بر اساس پردازش هایی که انجام می شود نتیجه را به کاربر برمی گرداند که

 

انجمن تحقیقاتی و امنیتی owasp با توجه به موضوع sql inejction توصیه می کند که از mysqli یا PDO کمک گرفته و حتما از stmt استفاده کنید .

 

منبع : رپید کد