Was ist eine SQL -Injektion?
Eine SQL -Injektion (Structured Query Language) ist eine Art von Angriff, der fast immer gegen eine Website versucht wird, die Datenbank betrieben wird. Es ist ein Bestreben, einen böswilligen Code in die SQL -Abfragen der Website einzufügen, um die Datenverwaltung zu stören, indem Daten zerstört, geändert oder angegeben werden, die in den Tabellen der Datenbank gespeichert sind, die die Website antreibt. SQL ist eine Standard -Programmiersprache, die zum Erstellen, Aktualisieren und Abruf von Daten verwendet wird, die in Datenbanken gespeichert sind. Sensible Informationen wie Kreditkartennummern, die medizinischen Unterlagen, Benutzernamen und Passwörter einer Person für Konten wie Online -Banking und E -Mail sowie verschiedene Arten von Identifikationsnummern können Cyberkriminellen ausgesetzt werden. Obwohl der Diebstahl von Daten wahrscheinlich das Hauptziel von jedem ist, der versucht, die SQL -Injektion zu verwenden, ist dies nicht die einzige Motivation für die Verwendung dieser oder irgendjemandemAndere Art der Code-Injektionstechnik, wie z. B. Cross-Site-Scripting. Besucher einer Website, auf der Informationen angezeigt werden, die sie nicht mögen, versuchen möglicherweise SQL -Injektionsangriffe, um die Website zu deaktivieren, Daten zu stehlen oder die Daten zu ändern, um die Mission der Personen hinter der Website zu zerstören.
Manchmal wird ein SQL -Injektionsangriff gegen eine Website von einem verärgerten Besucher gegen eine Website versucht, bei der sein Konto möglicherweise von den Site -Eigentümern verboten wurde, die die Popularität der Website beneiden oder die Online -Geschäft von jemandem, den er als Feind betrachtet, zerstören möchte. Das Wissen über SQL ist offensichtlich erforderlich, um einen SQL -Injektionsangriff zu starten, aber im Vergleich zu anderen Programmiersprachen wird es im Allgemeinen nicht als sehr schwierige Sprache angesehen, und es kann nur mit nur einem grundlegenden, aber soliden Verständnis der Verwendung erreicht werden. Dies bedeutet, dass es eine gute Anzahl von Menschen gibt, die die int surfenErnet, der die notwendige Fähigkeit hat, SQL -Injektion gegen eine Website zu versuchen.
Webentwickler, insbesondere diejenigen, die sich auf die Back-End-Webentwicklung spezialisiert haben, sind dafür verantwortlich, dass die von ihnen Programme, von denen sie programmierten Websites, gegen die SQL-Injektion sicher sind. Es gibt fast immer mehr als eine Möglichkeit, eine so wichtige Sicherheit zu erreichen, und die meisten dieser Methoden werden als einfache, aber sehr effektive Lösungen angesehen. Beispielsweise kann ein Entwickler die Funktion mySQL_REAL_ESCAPE_STRING () oder vorbereitete Anweisungen verwenden, wenn sie in der Sprache des Hypertext -Präzessors (PHP) skriptieren. Die ausgewählten Methoden, die sich gegen den Angriff ausgewählt haben, müssen sorgfältig berücksichtigt werden, da die Leistung des gesamten Standorts selbst beim Einrichten der Sicherheit nicht ignoriert werden kann.