1. Προληπτικά μέτρα
* Παραμετρικά ερωτήματα (παρασκευασμένες δηλώσεις): Αυτό είναι το χρυσό πρότυπο για την πρόληψη του SQLI. Χρησιμοποιήστε παραμετροποιημένες ερωτήσεις στις αλληλεπιδράσεις της βάσης δεδομένων σας. Αυτό σημαίνει να περάσετε τα δεδομένα ως παραμέτρους, όχι απευθείας στη συμβολοσειρά SQL. Ο κινητήρας βάσης δεδομένων θα χειριστεί σωστά τη διαφυγή και θα απολυθεί σωστά τα δεδομένα.
Παράδειγμα (Python με SQLite):
`` `Python
Εισαγωγή SQLite3
conn =sqlite3.connect ('myDatabase.db')
δρομέας =conn.Cursor ()
# Ανασφαλής
unsafe_query ="Επιλέξτε * από χρήστες όπου όνομα χρήστη ='" + Όνομα χρήστη +' '"
δρομέας.Execute (unsafe_query)
# Ασφαλής (χρησιμοποιώντας παραμέτρους)
safe_query ="Επιλέξτε * από χρήστες όπου όνομα χρήστη =;"
δρομέας.execute (safe_query, (όνομα χρήστη))
`` `
* Επικύρωση εισόδου και απολύμανση:
* Τύπος επικύρωσης: Βεβαιωθείτε ότι τα δεδομένα που λαμβάνονται ταιριάζουν με τον αναμενόμενο τύπο δεδομένων. (π.χ., μια διεύθυνση ηλεκτρονικού ταχυδρομείου πρέπει να περιέχει μόνο γράμματα, αριθμούς και επιτρεπόμενα σύμβολα)
* Επικύρωση μήκους: Περιορίστε το μήκος των πεδίων εισόδου για να αποτρέψετε τις επιθέσεις υπερχείλισης buffer.
* κωδικοποίηση και διαφυγή: Κωδικοποιήστε ειδικούς χαρακτήρες (όπως τα αποσπάσματα, τα ερωτηματικά κ.λπ.) για να τους εμποδίσουν να ερμηνευθούν ως εντολές SQL.
* Χρήση αποθηκευμένων διαδικασιών: Οι αποθηκευμένες διαδικασίες προσφέρουν ένα επίπεδο αφαίρεσης και ασφάλειας. Μπορούν να χρησιμοποιηθούν για την επικύρωση και την εκτέλεση ερωτημάτων με ελεγχόμενο τρόπο, μειώνοντας τον κίνδυνο SQLI.
2. Πρόσθετα μέτρα ασφαλείας
* Έλεγχος πρόσβασης βάσης δεδομένων: Περιορίστε τα προνόμια χρηστών. Δώστε μόνο στους χρήστες τα απαραίτητα δικαιώματα για την πρόσβαση στα δεδομένα που χρειάζονται.
* Κανόνες τείχους προστασίας: Διαμορφώστε το τείχος προστασίας σας για να εμποδίσετε την ύποπτη κυκλοφορία και την κυκλοφορία που προέρχεται από γνωστές κακόβουλες διευθύνσεις IP.
* Παρακολούθηση βάσης δεδομένων: Παρακολουθήστε τη δραστηριότητα βάσης δεδομένων για ύποπτα πρότυπα ή ανωμαλίες. Αυτό μπορεί να βοηθήσει στην ανίχνευση των προσπαθειών SQLI σε εξέλιξη.
* Τακτικοί έλεγχοι ασφαλείας: Ελέγξτε τακτικά τον κωδικό και τη διαμόρφωση της βάσης δεδομένων για τρωτά σημεία.
3. Σημαντικά σημεία:
* Μην βασίζεστε μόνο στην επικύρωση από την πλευρά του πελάτη: Ποτέ μην βασίζεστε αποκλειστικά στην επικύρωση από την πλευρά του πελάτη για να προστατεύσετε από το SQLI. Οι επιτιθέμενοι μπορούν να παρακάμψουν εύκολα τους ελέγχους του πελάτη.
* Να είστε ενήμεροι για το περιεχόμενο που δημιουργείται από το χρήστη: Η είσοδος από τα έντυπα, τα σχόλια ή τα προφίλ χρηστών μπορεί να αποτελέσει πρωταρχική πηγή επιθέσεων SQLI.
* Μείνετε ενημερωμένοι: Κρατήστε το λογισμικό της βάσης δεδομένων, τα προγράμματα οδήγησης και τις βιβλιοθήκες εφαρμογών σας ενημερωμένες με τα ενημερωμένα μέσα ασφαλείας.
Χρειάζεστε βοήθεια με συγκεκριμένο κωδικό;
Εάν χρειάζεστε βοήθεια για την εφαρμογή αυτών των εννοιών σε μια συγκεκριμένη γλώσσα προγραμματισμού ή σύστημα βάσης δεδομένων, παρακαλούμε να δώσετε περισσότερες πληροφορίες σχετικά με το περιβάλλον σας και μπορώ να σας δώσω πιο στοχευμένες συμβουλές.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα