Sql injection
Trabalho De Programação Para Web Sql injection ar 3 to view nut*ge Introdução Neste trabalho irei falar um pouco sobre sql injection e como se prevenir de ataques. Espero entender um pouco melhor com relação a proteção e a ataques. Desenvolvimento A Injeção de SQL, mais conhecida através do termo americano SQL Injection, é um tipo de ameaça de segurança que se componentes do framework que possam usar interpretadores como back-end.
PROTEÇAO Evite o uso de interpretadores quando possível. Caso invoque um interpretador, o método chave para evitar injeções está no uso de APIS seguras, como por exemplo, queries parametrizadas bibliotecas de mapeamento objeto relacional (ORM). Estas interfaces manipulam todas as fugas dados, ou aquelas que não demandam fuga. Note que enquanto interfaces seguras resolvem o problema, validação é ainda recomendada para detectar ataques.
O uso de interpretadores é perigoso, portanto são recomendados cuidados extras, como os seguintes: • Validação de entrada: utilize mecanismo padrão de validação de entrada para validar todas as entradas quanto ao tamanho, tipo, sintaxe e regras de negócio antes de aceitar que o dado seja mostrado ou armazenado. Use uma estratégia de validação “aceite o reconhecido como bom”.
Rejeite entrada inválida ao invés da tentativa de checar dados potencialmente hostis. Não se esqueça que as mensagens de erro podem também incluir dados inválidos. • Use APIS de query fortemente tipado com substituidores de espaços resewados, mesmo quando usar stored procedures. • Imponha o menor privilégio quando conectar a banco de dados ou outros sistemas de suporte. • Evite mensagens de erros detalhadas que sejam úteis ao atacante. ?? Use stored procedures uma vez ue elas são geralmente Seia cuidadoso, pois elas seguras contra inieçào SQ procedured. • Não use interfaces de query dinâmicas (como por exemplo, u similares). • Não use funções de fuga simples, como a addslashes() do PHP ou funções de substituição de caracteres como str_replace(“‘”, Elas são fracas e têm sido exploradas com sucesso por atacantes. Para PHP, use mysql_real_escape_string() para MySQL ou preferencialmente use PDO que não requer fuga. ?? Quando usar mecanismo simples de fuga, note que funções simples de fuga não podem escapar nomes de tabelas! Os nomes de tabelas devem ser SQ legal e assim completamente sem sentido para entrada fornecida pelo usuário. • Localize erros de conversão. As entradas devem ser ecodificadas e convertidas para a representação interna corrente antes de ser validada. Certifique-se que sua aplicação não decodifica a mesma entrada duas vezes.
Tais erros podem ser usados para ultrapassar esquemas de “lista branca” pela introdução de entradas perigosas após sua validação. Recomendações específicas por linguagem: • Java EE – use PreparedStatement fortemente tipado ou ORMs como Hibernate ou Spring. • NET – use queries parametrizadas fortemente tipadas, como SqlCommand com SqlParameter ou um ORM como o Hibernate. • PH? – use POO com parametrização fortemente tipada (using bindParam()). PAGF3ÜF3