Home » » Mi az SQL Injection?

Mi az SQL Injection?

A webes sebezhetőségek egyik legnagyobb osztálya „SQL Injection” vagy SQLi néven ismert. A strukturált lekérdezési nyelv, más néven SQL, az adatbázisok többségével való interakcióhoz használt nyelv, bár a nyelv számos változatát használják az adatbázis-platformtól függően. Minden olyan webhely, amely felhasználói adatokat, például fiókinformációkat tárol, vagy felhasználói feltöltési funkciót biztosít, például egy képtárhely, adatbázist használ az adatok tárolására.

Tipp: Az SQL-t általában „ess cue ell”-nek vagy „sequel”-nek ejtik, az első opció a brit angolban, a második pedig az amerikai angolban gyakoribb. Mindkét kiejtést általában akkor értjük, ha adatbázisokról beszélünk.

Mi az SQLi?

Az SQLi egy olyan biztonsági rés, ahol a webszerver és az adatbázis között kommunikáló kódot megtervező webfejlesztők nem valósítanak meg védelmet a felhasználók által elküldött SQL-parancsok ellen. A probléma az, hogy ki lehet menekülni az adatbázis-utasításokból, és új argumentumokat vagy teljesen új utasításokat adhatunk hozzá. A módosított vagy második adatbázis-utasítás számos műveletet hajthat végre, beleértve a potenciálisan nagy léptékű törléseket vagy adatszivárgásokat.

A kihasználások jellemzően a meglévő állítások minden körülmények között igazzá tétele körül forognak, vagy egy második kötegelt parancs megadása, amely egy adott műveletet hajt végre, például az összes adat törlését vagy megjelenítését. Például egy webhelyre bejelentkező SQL utasítás ellenőrizheti, hogy a beküldött felhasználónév és jelszó egyezik-e az adatbázisban szereplő bejegyzéssel. Az SQL injekciós exploit eléréséhez megpróbálhat hozzáadni egy „or true” záradékot, például „or 1=1”. Ez a parancs a „jelentkezz be [ezzel] felhasználónévvel, ha a jelszó [ez], vagy ez az állítás igaz”.

Hogyan lehet megakadályozni az SQLi-t

Az SQLi korábban nagyon gyakori módja volt a webhelyek adatbázisának feltörésének, majd online kiszivárgásának. Azon összehangolt erőfeszítéseknek köszönhetően, hogy a biztonsági tudatosság a fejlesztői képzés részét képezze, ezt a sérülékenységi osztályt nagyrészt feloldották, és már csak ritkán látni.

Az SQLi megelőzésének helyes módja az előkészített utasítások, más néven paraméterezett lekérdezések. Hagyományosan az SQL-utasításokat deklarálják, és a felhasználói bevitelt a deklaráció során összefűzik. Az előkészített utasításokkal az adatbázis parancs kiírásra kerül, majd egy sperate függvény futtatja a parancsot, és beszúrja a felhasználói adatokat. Bár ez kisebb különbségnek tűnhet, teljesen megváltoztatja a parancs kezelését. A különbség megakadályozza az értelmes SQL-parancsok futtatását, és minden felhasználói bevitelt karakterláncként kezel, megakadályozva az SQL-injektálást.


Leave a Comment

Mi a teendő, ha a WhatsApp Web nem működik

Mi a teendő, ha a WhatsApp Web nem működik

A WhatsApp web nem működik? Ne aggódj. Íme néhány hasznos tipp, amivel újra működésbe hozhatod a WhatsApp-ot.

Google Meet ülés indítása Gmailből

Google Meet ülés indítása Gmailből

A Google Meet kiváló alternatíva más videokonferencia alkalmazásokhoz, mint például a Zoom. Bár nem rendelkezik ugyanazokkal a funkciókkal, mégis használhat más nagyszerű lehetőségeket, például korlátlan értekezleteket és videó- és audio-előnézeti képernyőt. Tanulja meg, hogyan indíthat Google Meet ülést közvetlenül a Gmail oldaláról, a következő lépésekkel.

Hogyan ellenőrizzük a Direct X verzióját Windows 11 alatt

Hogyan ellenőrizzük a Direct X verzióját Windows 11 alatt

Ez a gyakorlati útmutató megmutatja, hogyan találhatja meg a DirectX verzióját, amely a Microsoft Windows 11 számítógépén fut.

7 Gyakori Spotify Probléma és Megoldásaik

7 Gyakori Spotify Probléma és Megoldásaik

A Spotify különféle gyakori hibákra utal, például zene vagy podcast lejátszásának hiányára. Ez az útmutató megmutatja, hogyan lehet ezeket orvosolni.

Opera Android: Sötét mód konfigurálása

Opera Android: Sötét mód konfigurálása

Ha a sötét módot konfigurálod Androidon, egy olyan téma jön létre, amely kíméli a szemed. Ha sötét környezetben kell nézned a telefonodat, valószínűleg el kell fordítanod a szemedet, mert a világos mód bántja a szemedet. Használj sötét módot az Opera böngészőben Androidra, és nézd meg, hogyan tudod konfigurálni a sötét módot.

Javítás – A Google Androidon offline-ként jelenik meg

Javítás – A Google Androidon offline-ként jelenik meg

Rendelkezik internetkapcsolattal a telefonján, de a Google alkalmazás offline problémával küzd? Olvassa el ezt az útmutatót, hogy megtalálja a bevált javításokat!

A Microsoft Edge biztonsági beállításainak megváltoztatása

A Microsoft Edge biztonsági beállításainak megváltoztatása

Az Edge megkönnyíti a biztonságos böngészést. Íme, hogyan változtathatja meg a biztonsági beállításokat a Microsoft Edge-ben.

Hogyan kezeljük a Google Play előfizetéseinket Androidon

Hogyan kezeljük a Google Play előfizetéseinket Androidon

Számos nagyszerű alkalmazás található a Google Playen, amelyekért érdemes lehet előfizetni. Idővel azonban a lista bővül, így kezelni kell a Google Play előfizetéseinket.

Hogyan javítsam ki a videofolytonossági problémákat a Windows 11-en?

Hogyan javítsam ki a videofolytonossági problémákat a Windows 11-en?

A videofolytonossági problémák megoldásához a Windows 11-en frissítse a grafikus illesztőprogramot a legújabb verzióra, és tiltsa le a hardveres gyorsítást.

Facebook: Hogyan rejtsük el a csoportbejegyzéseket a hírcsatornából

Facebook: Hogyan rejtsük el a csoportbejegyzéseket a hírcsatornából

Ha meg szeretné állítani a csoportbejegyzések megjelenését a Facebookon, menjen a csoport oldalára, és kattintson a További opciók-ra. Ezután válassza az Csoport leiratkozása lehetőséget.