Film samouczek
Wstrzykiwanie SQL
Niezwykle ważne jest, aby podczas projektowania formularzy używanych na stronach internetowych rozumieć mechanikę przeprowadzania ataku tzw. wstrzykiwania SQL. Jest to podatność korzystającej z bazy danych strony internetowej na atak, polegający na przemyceniu fragmentu zapytania SQL poprzez wartość kontrolki formularza.
Do przeprowadzenia ataku tego rodzaju wykorzystuje się znak apostrofu oraz operator komentarza w języku SQL. Szczegóły mechaniki przeprowadzania ataku na formularz przedstawiono w filmie.
Zapoznaj się z filmem.
Atak powiedzie się tylko w przypadku niedostatecznej tzw. sanityzacji wartości pobranej z formularza. Zasada ogólna, której powinni w kontekście bezpieczeństwa danych przestrzegać wszyscy programiści webowi, brzmi: nigdy nie ufaj danym wejściowym wprowadzonym przez użytkownika.