Structured Query Language ( SQL ) injektion eller attacker insättning försöker utnyttja sårbarheter i programmets databas med hjälp av fälten användarens input för att fråga en databas . För att förhindra SQL- injektion attacker , bör en ansökan utvecklare vet hur de kan uppstå . Typer
En hacker kan använda SQL injection attacker för att försöka få tillgång till information i databasen . Han kan använda formulärfält för att skriva SQL-kommandon med inbäddade escape-tecken som en parameter för att fråga ett bord och har det returnera poster som han inte skulle ha tillgång till .
Förebyggande /Lösning
en databas programmerare bör binda varje del av användarens input till en parameter som då kan kontrollera och filtrera escape-tecken och felaktiga typer . När programmet kontrollerar och formaterar användardata , kan den använda den för att utföra SQL-kommando .
Fakta
Albert Gonzalez och 10 andra begått det största vid kreditkortsbedrägerier i USA: s historia . Gonzalez befanns skyldig till att använda SQL injection attacker för att hacka sig in butikskedjor att stjäla över 130 miljoner kreditkortsnummer , och i augusti 2009 han erkände sig skyldig till anklagelserna om identitetsstöld .
