Инъекционная техника состоит из ввода SQL-запроса или команды с использованием полей ввода приложения.
Веб-приложение - Инъекция
Успешная SQL-инъекция может считывать, изменять конфиденциальные данные из базы данных и также удалять данные из базы данных. Он также позволяет хакеру выполнять административные операции с базой данных, такие как завершение работы СУБД / удаляющихся баз данных.
Предотвращение внедрения SQL
Существует множество способов предотвратить SQL-инъекцию. Когда разработчики пишут код, они должны обеспечить, чтобы они обрабатывали специальные символы соответственно. В OWASP есть чит-листы / методы профилактики, которые, безусловно, являются руководством для разработчиков.
- Использование параметризованных запросов
- Выход всех входных данных пользователя
- Включить минимальную привилегию для базы данных для конечных пользователей
0 комментариев