Loading:

Totalnie zaprogramowani! [3 za 2 lub solo z rabatem -25% na książki drukowane i ebooki!]

Menu

Napisz Artykuł Skrypty WordPress Funkcje Kursy Flash Artykuły Bezpieczeństwo CSS 3 Licencje Linux PHP Refaktoryzacja SQL SVN XHTML Style CSS Kontakt Sitemap Moda Sukienki i spódnice Projektowanie logo

Ostatnio dodane

php Upload dodaw PHP Tworzenia mi Logowanie obiekt Prosty system sz Lista plików z Jak zbudować pr Jak zamienić w IP uzytkownika Obiekt Timer [AS Proste skrypty w

Top 10

1.readfile 2.crc32() 3.readline() 4.MINIATURKI 5.imagexbm 6.ftp_nlist 7.exec 8.join() 9.strchr() 10.data

Strona poprawnie napisana arkuszem CSS 2.1
Strona poprawnie napisana w jêzyku XHTML 1.0 Trasitional
Część materiałów pochodzi z PHP.net. Strona dziala na silniku PHP 7
Strona w oparciu o MySQL 5
Bezpieczna strona

PageRank 5 56853.05 Android Gry i Aplikacje Nakarm g³odne dziecko - pajacyk.pl

Jak zabezpieczyć bazy MySQL przed SQL Injection

Atak SQL Injection to jeden z najpopularniejszych ataków na bazy danych MySQL i jeden z największych problemów twórców profesjonalnych serwisów www opartych na PHP oraz innych językach działających po stronie serwera i odpowiadających za komunikację aplikacja – baza danych. Celem tego ataku jest wstrzyknięcie / modyfikacja / usunięcie lub wydobycie z bazy danych poprzez klienta bazy danych (np. aplikację webową) odpowiednich danych lub struktur. Skrajnymi przypadkami zagrożenia może być niszczenie tabel baz danych, wybieranie z nich szczególnie sensytywnych danych (np. danych osobowych) lub niszczenie całych baz. Możliwe jest nawet wykonywanie niebezpiecznych komend na poziomie hosta bazy danych lub, podczas łączenia się do bazy danych na prawach administratora baz danych, haker może również tworzyć osobnego, własnego użytkownika posiadającego maksymalne uprawnienia.

 

Oto przykład prostej komendy w mysqli zdefiniowanej w języku PHP:

 

Przykład 1:

 

mysqli_query($con,"INSERT INTO Names (Imie, Nazwisko, Wiek)

VALUES ('Jan', 'Kowalski',32)");

 

Zmienna $con odpowiada w powyższym przykładzie za połączenie z bazą danych.

 

Jeżeli powyższe zapytanie zamienimy na przejmujące wartość danej zmiennej (np. przychodzącej POSTem), może wyglądać następująco:

 

Przykład 2:

 

 

mysqli_query($con,"INSERT INTO Names (Imie, Nazwisko, Wiek)

VALUES ('$imie', '$nazwisko',$wiek)");

 

Tak wykonane mysqli_query to jedna z najprostszych postaci komendy typu INSERT wykonywanej do bazy danych i przechwytujących wartości zmiennej wysłanych np. z formularza napisanego w technologii HTML w żaden sposób nie zabezpieczonej przed atakiem SQL Injection.

 

Logika aplikacji powinna zapewniać odpowiednie przetworzenie funkcji z przykładu 2. Najprostszą metodą, aby zapewnić elementarne bezpieczeństwo, jest używanie PHPowej funkcji mysql_real_escape_string(), dodającej znaki unikowe w łańcuchu znaków, które są używane w komendzie SQL. Funkcja ta jest rekomendowana w miejsce starszych i mniej bezpiecznych funkcji: mysql_escape_string() oraz addslashes().

 

W jaki inny sposób można zabezpieczyć się przed atakiem SQL Injection?

 

Po pierwsze, należy pamiętać, że aplikacje, czyli klienci, którzy łączą się z bazą danych, zawsze powinni być traktowani jako potencjalne zagrożenie dla ciągłości działania bazy. Ponieważ łączą się oni z bazą danych jako pewien użytkownik, a więc logując się do niej, zgodnie z zasadą ograniczonego zaufania, powinny łączyć się jako użytkownik z odpowiednimi ograniczeniami. Po stronie bazy danych warto więc zdefiniować usera specjalnie na potrzeby klientów. Użytkownik taki powinien mieć np. uprawnienia jedynie do odczytu danych (SELECT).

 

Ponadto, w przypadku aplikacji PHP należy stosować rozszerzenia mysqli lub pdo_mysql zamiast starszego ext/mysql.

 

Innymi dobrymi praktykami podczas zabezpieczenia bazy MySQL, podobnie jak PostgreSQL, są:

 

  1. Nadanie kolumnom i procedurom mniej intuicyjnych nazw, szczególnie w przypadku umieszczania w nich kluczowych danych. Hakerzy atakują bazę danych często wybierają popularne nazwy tabel lub kolumn w tych tabelach (np. users lub użytkownicy). Jeżeli nazwy te będą miały charakter schematyczny wówczas SQL Injection może być zdecydowanie trudniejszy do przeprowadzenia.

  2. Zasada opisana w powyższym punkcie powinna odnosić się również do nazw użytkowników. Powinniśmy zrezygnować z oczywistych nazw takich jak „admin”, ponieważ je również również zdecydowanie łatwiej podrobić przy SQL Injection oraz przy próbie włamania bezpośrednio przez phpmyadmina (lub pgadmina).

  3. Kluczowe dane powinny być kodowane co najmniej przy użyciu mechanizmu md5 (zalecane są jednak mechanizmy z grupy SHA-1). W przypadku kodowania należy jednak pamiętać, że zakodowanie nazwy użytkownika „admin” przy użyciu md5 da nam 32- znakowy string, który dla wprawnego hakera będzie znany (na podstawie np. baz md5). Bezpiecznym połączeniem jest zatem łączenie nazw mało intuicyjnych z odpowiednim ich kodowaniem. Inne rozwiązania czynią bazę danych gorzej zabezpieczoną.

  4. Używanie w języku działającego po stronie serwera funkcji zabezpieczających wysyłane dane takich jak mysql_real_escape_string() lub settype ().

Mottem, do którego należy się stosować projektując bazy danych, jest to, że powyższe zabezpieczenia powinny dotyczyć wszystkich rodzajów baz danych, a nie tylko posiadających kluczowe dane. Zagrożenia, które istniejąc dla zupełnie niezabezpieczonych baz, mogą narażać całą usługę na niespodziewane przerwanie ciągłości działania. Pamiętajmy bowiem, że mimo że aplikacja jako taka nie zostanie uszkodzona, jednak może odwoływać się do zaatakowanych (skasowanych lub zmodyfikowanych) danych/struktur, wprowadzając użytkowników w błąd, lub uniemożliwiając poprawne wyświetlenie danych.

 

Autor Artykułu: Mateusz Jabłoński z http://www.datalab.pl/



Napisz Artyku³

Listing

niema




Dodano przez: mateuszj Ranga: Poziom 3 Punktów: 50
Komentarze użytkowników
    • Tre¶æ komentarza
      Kod do komentarza (opcjonalnie)
      PHP JavaScript MySQL Smarty SQL HTML CSS ActionScript
      Autor
      Token
      token

       

       








:: Losowe artykuły
:: curl_error
:: StyleSheet clear [AS 2]
:: win32_create_service
:: Tekst płynnie zmieniacący kolory
:: BitmapData.dispose [AS 2]
:: ord()
:: Object __proto__ [AS 2]
:: Czy PHP może dowiedzieć się o rozdzielczości ekranu?
:: Tworzenie dynamicznych nazw zmiennych w ActionScript 3
:: Button scale9Grid [AS 2]
:: SphinxClient::query
:: ceil
:: Button _url [AS 2]
:: LoadVars load [AS 2]
:: Jak pobrać dane z kilku tabel za jednym zapytaniem SQL LEFT JOIN
:: Wymiana linków
Modowe inspiracje | Android Gry i Aplikacje | ZaplanujTransport.pl: Przeprowadzki, transport, aukcje | Logo dla firmy | Change Tires - Car Weather Forecast Reminder | Laminas: MVC Framework for PHP | IT Books Reviews and Programming: JS, JAVA, PHP, ANDROID, CSS | Katalog roślin | Programming articles: JAVA, PHP, C++, Python, JavaScript | Kancelaria Adwokacka Łukasz Huszno
funkcje.net
Wszelkie prawa zastrzeżone©. | Funkcje.net 2008-2021 v.1.5 | design: diviXdesign & rainbowcolors