Защита от SQL-инъекций | Базы данных | SecurityScripts.ru

SQL-инъекция — это процесс, при котором кто-либо выполняет SQL-запрос к базе данных без вашего ведома, с целью нанесения ущерба. Данная техника заключается в эксплуатации уязвимостей программного кода.

www.SecurityScripts.ru/articles/%C1%E0%E7%FB%20%E4%E0%ED%ED%FB%F5/sql-injection.html

Анализ базы данных через SQL инъекцию

SQL-injection(SQL-инъекция) представляет собой подделку определённого запроса к базе данных сайта.

Теперь, зная как отличить ошибочный запрос от пустого, начинаем последовательно извлекать информация о запросе и базе данных. Рассмотрим случай, когда иньекция происходит после where.

www.verim.org/project/comp/sql_inekcija

SQL Injection: проникаем в базу данных | Immortal-RS — Хакерский...

В этой статье пойдем дальше и расскажем о другом классе уязвимостей: SQL Injection и о том, как ее можно использовать. Немного о базах данных.

Система управления базами данных (СУБД). Программный компонент, включающий в себя функции для добавления данных в базу данных (БД), извлечения, сортировки и.т.д.

www.immortal-rs.com/sqlinjection/

http://www.webberloga.ru/index.php/entry/mozhno-li-s-pomoshchyu-sredstv-bazy-dannykh-zashchititsya-ot-sql-in-ektsij.html

На основании их расскажу что можно а чего нельзя сделать для защиты от sql инъекции средствами базы данных.

Сейчас мы ограничили пользователям доступ и количество запросов к базе, но sql инъекции по прежнему возможны, можно загрузить сервер например.

www.webberloga.ru/index.php/entry/mozhno-li-s-pomoshchyu-sredstv-bazy-dannykh-zashchititsya-ot-sql-in-ektsij.html

Азбука NoSQL-инъекций / Блог компании Журнал Хакер / Хабрахабр

Это очень простое web-приложение, которое отображает информацию о текущем состоянии СУБД и позволяет формировать запросы к базам данных.

Если при работе с реляционными базами данных было достаточно изучить SQL-инъекции и способы борьбы с ними (при этом ты мог применить уже имеющиеся знания как в MySQL, так и в Oracle или SQL Server), то с...

habrahabr.ru/company/xakep/blog/143909/

PHP: SQL-инъекции - Manual

В случае, если используемая вами база данных поддерживает конструкцию UNION, взломщик может присоединить к оригинальному запросу еще один дополнительный, для извлечения пользовательских паролей.

add a note User Contributed Notes SQL-инъекции - [11 notes].

www.php.net/manual/ru/security.database.sql-injection.php

Защита от SQL инъекций

Так как защита от SQL инъекций в скрипте не предусмотрена, злоумышленник запросто может оперировать информацией из нашей базы данных, подставляя совершенно любые запросы. Аналогично можно выполнить SQL инъекцию с помощью адресной строки, дописав к GET параметрам такую информацию

LifeExample.ru/php-primeryi-skriptov/zashhita-ot-sql-inektsiy.html

SQL-инъекции - статья на webew.ru

Уязвимость по отношению к SQL-инъекциям возникает из-за того, что пользовательская информация попадает в запрос к базе данных без должной обработке: чтобы скрипт не был уязвим, требуется убедиться, что все пользовательские данные попадают во все запросы к базе данных в экранированном виде.

webew.ru/articles/2078.webew

Учимся на ошибках: методика проведения Error-based SQL-Injection

Но зачем использовать неэффективный подход, когда возвращается ошибка СУБД?! Ведь ее не менее удобно, чем при классической эксплуатации SQL-инъекций, можно приспособить к построчному чтению данных из базы или файловой системы. Глупо отказываться от такой возможности.

www.xakep.ru/post/52222/

SQL-инъекция

Инъекция SQL (англ. SQL injection) — один из распространённых способов взлома программ, работающих с базами данных.

Инъекция SQL часто даёт возможность атакующему выполнить произвольный запрос к базе данных, например, прочитать содержимое любых таблиц или удалить все данные.

xaknotdie.org/22h/8/06.html