Home » » Çfarë është SQL Injection?

Çfarë është SQL Injection?

Një nga klasat më të mëdha të dobësive në ueb njihet si "SQL Injection", ose SQLi. Gjuha e strukturuar e pyetjeve, e njohur ndryshe si SQL, është gjuha që përdoret për të bashkëvepruar me shumicën e bazave të të dhënave, megjithëse një numër variantesh të gjuhës përdoren në varësi të platformës së bazës së të dhënave. Çdo faqe interneti që ruan të dhënat e përdoruesit, të tilla si informacioni i llogarisë, ose ofron funksione të ngarkimit të përdoruesit, si p.sh. një faqe interneti për pritjen e imazheve, do të përdorë një bazë të dhënash për të ruajtur ato të dhëna.

Këshillë: SQL në përgjithësi shqiptohet ose "ess cue ell" ose "vazhdim" me opsionin e parë që është më i zakonshëm në anglishten britanike dhe i dyti më i përhapur në anglishten amerikane. Të dy shqiptimet përgjithësisht kuptohen në kontekstin e të folurit për bazat e të dhënave.

Çfarë është SQLi?

SQLi është një cenueshmëri ku zhvilluesit e uebit që dizajnojnë kodin që komunikon midis serverit të uebit dhe bazës së të dhënave nuk zbatojnë mbrojtje kundër komandave SQL që dërgohen nga një përdorues. Problemi është se është e mundur të ikësh nga deklaratat e bazës së të dhënave dhe të shtosh argumente të reja ose një deklaratë krejtësisht të re. Deklarata e ndryshuar ose e dytë e bazës së të dhënave mund të kryejë një sërë veprimesh duke përfshirë fshirje në shkallë të gjerë ose rrjedhje të të dhënave.

Shfrytëzimet zakonisht rrotullohen rreth bërjes së deklaratave ekzistuese të jenë të vërteta në të gjitha rrethanat ose ofrimit të një komande të dytë të grumbulluar që kryen një veprim specifik si fshirja ose shfaqja e të gjitha të dhënave. Për shembull, një deklaratë SQL për t'u identifikuar në një faqe interneti mund të kontrollojë nëse emri i përdoruesit dhe fjalëkalimi i paraqitur përputhen me një hyrje në bazën e të dhënave. Për të tentuar të fitoni akses në një shfrytëzim të injektimit SQL, mund të përpiqeni të shtoni një klauzolë "ose e vërtetë" si "ose 1=1". Kjo do ta bënte komandën përgjatë vijave të "hyni me [këtë] emër përdoruesi, nëse fjalëkalimi është [ky], ose kjo deklaratë është e vërtetë".

Si të parandaloni SQLi

SQLi dikur ishte një mënyrë shumë e zakonshme që faqet e internetit të shkelnin bazën e të dhënave të tyre dhe më pas të dilnin në internet. Për shkak të një përpjekjeje të përbashkët për të siguruar që ndërgjegjësimi për sigurinë të jetë pjesë e trajnimit të zhvilluesve, kjo klasë cenueshmërie është zgjidhur kryesisht dhe shihet më rrallë.

Metoda e saktë për të parandaluar SQLi është përdorimi i deklaratave të përgatitura, të njohura gjithashtu si pyetje të parametrizuara. Tradicionalisht, deklaratat SQL deklarohen dhe kanë hyrjen e përdoruesit të lidhur në to gjatë asaj deklarate. Me deklaratat e përgatitura, komanda e bazës së të dhënave shkruhet dhe më pas një funksion sperate ekzekuton komandën dhe fut të dhënat e përdoruesit. Ndërsa kjo mund të duket si një ndryshim i vogël, ai ndryshon plotësisht mënyrën se si trajtohet komanda. Dallimi parandalon ekzekutimin e çdo komande kuptimplote SQL dhe i trajton të gjitha hyrjet e përdoruesit si një varg, duke parandaluar që të ndodhë injektimi SQL.


Leave a Comment

A është e turbullt kamera e telefonit tuaj? Provoni këto 14 rregullime

A është e turbullt kamera e telefonit tuaj? Provoni këto 14 rregullime

Kamera e telefonit tuaj mund të prodhojë fotografi të paqarta. Provoni këto 14 rregullime për të përmirësuar cilësinë e imazheve tuaj.

Si të vendosni një nënshkrim në një dokument të Microsoft Word

Si të vendosni një nënshkrim në një dokument të Microsoft Word

Mësoni si të vendosni nënshkrimin tuaj në një dokument të Microsoft Word shpejt dhe lehtë. Kjo përfshin mundësitë për nënshkrim elektronik dhe dixhital.

Si të ndryshoni gjuhën në Netflix

Si të ndryshoni gjuhën në Netflix

Mësoni si të ndryshoni gjuhën në Netflix për të përmirësuar përvojën tuaj të shikimit dhe të aksesoni përmbajtjen në gjuhën tuaj të preferuar. Abonohuni në Netflix sot!

3 Dimensionet kryesore të fushës sportive

3 Dimensionet kryesore të fushës sportive

Në këtë artikull, ne do t'ju tregojmë gjithçka rreth basketbollit, tenisit dhe futbollit dhe dimensionet e rëndësishme të fushave sportive.

Çfarë duhet të bëni me një TV të thyer që nuk mund të rregullohet

Çfarë duhet të bëni me një TV të thyer që nuk mund të rregullohet

Merrni këshilla se çfarë të bëni me televizorin tuaj të prishur që nuk mund të rregullohet, nga shitja dhe riciklimi deri te projektet DIY.

Si të gjeni ditëlindjen e dikujt në Facebook

Si të gjeni ditëlindjen e dikujt në Facebook

Mos harroni kurrë një ditëlindje me ndihmën e Facebook. Shihni se ku mund të gjeni ditëlindjen e dikujt që të mund ta dërgoni dhuratën në kohë.

Ku janë Fotografitë e mia të Google? Si ti gjeni ato

Ku janë Fotografitë e mia të Google? Si ti gjeni ato

Është e lehtë të gjesh të gjitha fotot dhe videot që ke ngarkuar në llogarinë tënde të Google Photos. Google Photos ofron disa mënyra për tju ndihmuar të gjeni fotot tuaja.

Rezultati i Snapchat: Si funksionon dhe si ta rrisni atë

Rezultati i Snapchat: Si funksionon dhe si ta rrisni atë

Rezultati i Snapchat (i quajtur ndryshe Snap Score) përshkruan pikët e grumbulluara bazuar në shpeshtësinë e ndërveprimeve me përdoruesit e tjerë në aplikacionin e mesazheve dhe rrjeteve sociale. Në këtë postim, ne do të theksojmë elementët që përbëjnë sistemin e pikëve të Snapchat.

Server i dedikuar kundrejt serverit të përbashkët të pritjes

Server i dedikuar kundrejt serverit të përbashkët të pritjes

A po kërkoni për një mundësi të zbatueshme për pritjen e faqes në internet? Mësoni ndryshimin midis një serveri të dedikuar kundrejt një serveri të përbashkët pritës.

Një listë e emrave qesharak të Wi-Fi

Një listë e emrave qesharak të Wi-Fi

Më pëlqen t'i argëtoj fqinjët e mi duke ndryshuar rrjetin tim Wi-Fi me emra të ndryshëm qesharak. Nëse po kërkoni ide për një emër qesharak Wi-Fi, këtu