ما هي SQL حقن الهجوم / الضعف؟

هذه أسئلة وأجوبة وكان الجواب الذي كتبه k4thryn :

وهناك حقن SQL الضعف ويمكن أن يحدث عندما تفتقر الخطية يستخدم البرنامج للمستخدم وقدمت البيانات في قاعدة بيانات استفسار دون التحقق من صحة المدخلات. وهذا هو الأكثر وغالبا ما توجد داخل صفحات الويب ذات المحتوى الديناميكي. هناك بعض الدروس الممتازة وصفي مقالات عن هذا الموضوع ، فضلا عن تعرض العديد من الوظائف لتطبيقات مختلفة من الكشف الكامل لمواقع الويب.

ومثال بسيط SQL الحقن هو جزء أساسي من تشكيل هتمل ادخل التي توفر لك اسم المستخدم وكلمة المرور :

	  <formmethod="post" action="process_login.php"> 
	  <inputtype="text" name="username"> 
	  <inputtype="password" name="password"> 
	  </ شكل>

ونظرا لهذا مقتطف من هتمل ، يمكن للمرء أن يستنتج أن أسهل (وأسوأ) الطريق لسيناريو "process_login.php" للعمل وسيكون لذلك لبناء وتنفيذ قاعدة بيانات استفسار يبدو أن هذا :

	  "اختر معرف 
	  من تسجيل الدخول 
	  أين اسم المستخدم = 'اسم المستخدم دولار' 
	  وكلمة المرور = 'كلمة السر دولار" ؛

في ظل هذه الظروف ، إذا كانت المتغيرات "$ اسم المستخدم" و "كلمة السر دولار" مأخوذة مباشرة من مدخلات المستخدم ، ادخل السيناريو يمكن بسهولة يتوهم صحيح أن كلمة السر لم تقدم اللعب مع تركيب من SQL. لنفترض أن الجملة التالية كما قدمت كلمة السر :

	  أو ''='

وأعطينا "بوب" على اسم المستخدم. بمجرد المتغيرات محرف ، الاستعلام أعلاه هي كما يلي :

	  "اختر معرف 
	  من تسجيل الدخول 
	  أين اسم المستخدم = 'بوب' 
	  وكلمة المرور = ''أو'' = ''" ؛

هذا السؤال سوف يعود على التوالي ، لأن العبارة الأخيرة :

	  ...  = ''أو''

دائما لتقييم صحيح (سلسلة فارغة دائما يساوي سلسلة فارغة).

SQL حقن منع الهجمات

وأكثر الطرق لمنع هذا النوع من vunerability يتم حقن SQL للتحقق من المستخدم مساهمة خطيرة مثل حرف واحد ونقلت واستخدام البيانات المعدة سلفا ، والتي تخبر قاعدة البيانات بالضبط ما توقع من قبل أي مستخدم تمرير البيانات المنصوص عليها.