SQL Injection

Video.: SQL Injection For Beginners - Learn From A Pro Hacker Now

Nilalaman

Kahulugan - Ano ang ibig sabihin ng SQL Injection?
Isang Panimula sa Microsoft Azure at ang Microsoft Cloud | Sa buong gabay na ito, malalaman mo kung ano ang lahat ng cloud computing at kung paano makakatulong ang Microsoft Azure sa iyo upang lumipat at patakbuhin ang iyong negosyo mula sa ulap.
Ipinapaliwanag ng Techopedia ang SQL Injection

Kahulugan - Ano ang ibig sabihin ng SQL Injection?

Ang isang injection ng SQL ay isang pag-atake sa computer kung saan naka-embed ang malisyosong code sa isang hindi maayos na dinisenyo na application at pagkatapos ay ipinasa sa database ng backend. Ang malisyosong data pagkatapos ay naglilikha ng mga resulta ng query sa database o mga aksyon na hindi dapat naisakatuparan.

Isang Panimula sa Microsoft Azure at ang Microsoft Cloud | Sa buong gabay na ito, malalaman mo kung ano ang lahat ng cloud computing at kung paano makakatulong ang Microsoft Azure sa iyo upang lumipat at patakbuhin ang iyong negosyo mula sa ulap.

Ipinapaliwanag ng Techopedia ang SQL Injection

Ay nagbibigay-daan sa pamamagitan ng isang halimbawa ng isang pag-atake ng iniksyon ng SQL:

Ang isang application na nagpapatakbo ng operasyon ng isang bangko ay naglalaman ng mga menu na maaaring magamit upang maghanap para sa mga detalye ng customer gamit ang mga puntos ng data tulad ng numero ng Seguridad ng Seguridad ng customer. Sa background ang tawag sa application ng isang query sa SQL na tumatakbo sa database sa pamamagitan ng pagpasa ng mga pinasok na mga halaga ng paghahanap tulad ng sumusunod:

PUMILI client_name, telepono, address, date_of_birth SAAN panlipunan_sec_no = 23425

Sa halimbawang script na ito, pinapasok ng gumagamit ang 23425 na halaga sa window ng menu ng aplikasyon, na humiling sa gumagamit na ipasok ang numero ng Social Security. Pagkatapos, gamit ang halaga na ibinigay ng gumagamit, ang isang query sa SQL ay tumatakbo sa database.

Ang isang gumagamit na may kaalaman sa SQL ay maaaring maunawaan ang application at, sa halip na magpasok ng isang solong halaga kapag tinanong para sa numero ng Social Security, ipasok ang string "23425 o 1 = 1," na ipinasa sa database tulad ng sumusunod:

PILIONG client_name, telepono, address, date_of_birth SAAN panlipunan_sec_no = 23425 o 1 = 1

Mahalaga ang sugnay na SAAN sapagkat ipinakilala nito ang kahinaan. Sa isang database, ang kondisyon 1 = 1 ay palaging totoo, at dahil ang query ay tinukoy upang ibalik ang mga detalye ng numero ng Social Security (23425) o SAAN 1 = 1, ibabalik ng query ang lahat ng mga hilera sa talahanayan, na hindi ito ang orihinal na hangarin.

Ang itaas na halimbawa ng pag-atake ng iniksyon sa SQL ay simple, ngunit ipinapakita kung paano ang pagsasamantala sa isang kahinaan upang linlangin ang application sa pagpapatakbo ng isang query sa database ng backend o utos.

Ang pag-atake ng iniksyon ng SQL ay maaaring mapagaan sa pamamagitan ng pagtiyak ng tamang disenyo ng aplikasyon, lalo na sa mga module na nangangailangan ng pag-input ng gumagamit upang magpatakbo ng mga query sa database o utos. Sa halimbawa sa itaas, ang application ay maaaring mabago upang tumanggap ito ng isang halaga lamang.