Home » » Hva er SQL-injeksjon?

Hva er SQL-injeksjon?

En av de største klassene av nettsårbarheter er kjent som "SQL Injection", eller SQLi. Structured Query Language, aka SQL, er språket som brukes til å samhandle med de fleste databaser, selv om en rekke varianter av språket brukes avhengig av databaseplattformen. Ethvert nettsted som lagrer brukerdata, for eksempel kontoinformasjon, eller gir brukeropplastingsfunksjonalitet, for eksempel et nettsted som hoster bilder, vil bruke en database for å lagre disse dataene.

Tips: SQL uttales vanligvis enten "ess cue ell" eller "oppfølger" med det første alternativet som er mer vanlig på britisk engelsk og det andre mer utbredt på amerikansk engelsk. Begge uttalene blir generelt forstått i sammenheng med å snakke om databaser.

Hva er SQLi?

SQLi er en sårbarhet der nettutviklerne som designer koden som kommuniserer mellom webserveren og databasen ikke implementerer beskyttelse mot SQL-kommandoer som sendes inn av en bruker. Problemet er at det er mulig å flykte ut av databasesetninger og legge til nye argumenter eller en helt ny setning. Den endrede eller andre databasesetningen kan utføre en rekke handlinger, inkludert potensielt store slettinger eller datalekkasjer.

Utnyttelser dreier seg vanligvis om å få eksisterende utsagn til å være sanne under alle omstendigheter eller å gi en andre batchkommando som utfører en spesifikk handling som å slette eller vise alle data. For eksempel kan en SQL-setning for å logge på et nettsted sjekke om det innsendte brukernavnet og passordet samsvarer med en oppføring i databasen. For å forsøke å få tilgang kan en SQL-injeksjonsutnyttelse prøve å legge til en "eller sann"-klausul som "eller 1=1". Dette vil gjøre kommandoen på linje med "logg inn med [dette] brukernavnet, hvis passordet er [dette], eller denne uttalelsen er sann".

Hvordan forhindre SQLi

SQLi pleide å være en veldig vanlig måte for nettsteder å få databasen sin brutt og deretter lekket på nettet. På grunn av en samlet innsats for å sikre at sikkerhetsbevissthet er en del av utvikleropplæringen, har denne klassen av sårbarhet stort sett blitt løst og er bare sjelden sett lenger.

Den riktige metoden for å forhindre SQLi er å bruke forberedte setninger, også kjent som parameteriserte spørringer. Tradisjonelt blir SQL-setninger deklarert og brukerinndataene er koblet sammen i dem under den erklæringen. Med forberedte setninger skrives databasekommandoen ut og deretter kjører en sperate-funksjon kommandoen og setter inn brukerdata. Selv om dette kan virke som en mindre forskjell, endrer det fullstendig hvordan kommandoen håndteres. Forskjellen forhindrer at noen meningsfulle SQL-kommandoer kjøres og behandler alle brukerinndata som en streng, og forhindrer at SQL-injeksjon skjer.


Leave a Comment

Rask Tips: Hvordan Se Kjøpshistorikken din på Google Play

Rask Tips: Hvordan Se Kjøpshistorikken din på Google Play

Se vår Google Play Kjøpshistorikk ved å følge disse nybegynnervennlige trinnene for å holde apputgiftene dine under kontroll.

Zoom: Hvordan legge til et videofilter

Zoom: Hvordan legge til et videofilter

Ha det moro i Zoom-møtene dine med noen morsomme filtre du kan prøve. Legg til en glorie eller se ut som en enhjørning i Zoom-møtene dine med disse morsomme filtrene.

Hvordan fremheve tekst i Google Slides

Hvordan fremheve tekst i Google Slides

Lær hvordan du fremhever tekst med farge i Google Slides-appen med denne trinn-for-trinn-veiledningen for mobil og datamaskin.

Samsung Galaxy Z Fold 5: Hvordan koble til PC

Samsung Galaxy Z Fold 5: Hvordan koble til PC

Samsung Galaxy Z Fold 5, med sitt innovative foldbare design og banebrytende teknologi, tilbyr ulike måter å koble til en PC. Enten du ønsker

Hvordan ta et skjermbilde på Galaxy Z Fold 5

Hvordan ta et skjermbilde på Galaxy Z Fold 5

Du har kanskje ikke alltid tenkt over det, men en av de mest utbredte funksjonene på en smarttelefon er muligheten til å ta et skjermbilde. Over tid har metode for å ta skjermbilder utviklet seg av ulike grunner, enten ved tillegg eller fjerning av fysiske knapper eller innføring av nye programvarefunksjoner.

Legg til en ny WhatsApp-kontakt ved å bruke en tilpasset QR-kode

Legg til en ny WhatsApp-kontakt ved å bruke en tilpasset QR-kode

Se hvor enkelt det er å legge til en ny WhatsApp-kontakt ved hjelp av din tilpassede QR-kode for å spare tid og lagre kontakter som en proff.

Viktige hurtigtaster for Microsoft PowerPoint

Viktige hurtigtaster for Microsoft PowerPoint

Lær å forkorte tiden du bruker på PowerPoint-filer ved å lære disse viktige hurtigtastene for PowerPoint.

Eksportere Kontakter fra Outlook og Importere til Gmail

Eksportere Kontakter fra Outlook og Importere til Gmail

Bruk Gmail som en sikkerhetskopi for personlig eller profesjonell Outlook-e-post? Lær hvordan du eksporterer kontakter fra Outlook til Gmail for å sikkerhetskopiere kontakter.

Hvordan slette bilder og videoer fra Facebook

Hvordan slette bilder og videoer fra Facebook

Denne guiden viser deg hvordan du sletter bilder og videoer fra Facebook ved hjelp av PC, Android eller iOS-enhet.

Facebook: Hvordan skjule gruppeinnlegg fra nyhetsfeeden

Facebook: Hvordan skjule gruppeinnlegg fra nyhetsfeeden

For å slutte å se innlegg fra Facebook-grupper, gå til den gruppens side, og klikk på Flere alternativer. Velg deretter Følg ikke lenger gruppe.