Cos'è un'iniezione SQL?
Un'iniezione SQL (Structured Query Language) è un tipo di attacco che viene quasi sempre tentato contro un sito Web guidato dal database. È uno sforzo di inserire codice dannoso nelle query SQL del sito al fine di interferire con la gestione dei dati distruggendo, modificando o rivelando i dati archiviati nelle tabelle del database che guida il sito. SQL è un linguaggio di programmazione standard impiegato per creare, aggiornare e recuperare i dati archiviati in database.
I pericoli degli attacchi di iniezione di SQL sono numerosi e spesso molto devastanti quando vengono eseguiti con successo. Informazioni sensibili come numeri di carta di credito, cartelle cliniche di una persona, nomi utente e password per account come banking online e e -mail, nonché vari tipi di numeri di identificazione possono essere esposti ai criminali informatici. Sebbene il furto di dati sia probabilmente l'obiettivo principale di chiunque tenga di utilizzare l'iniezione di SQL, non è l'unica motivazione per l'uso di questo o qualsiasiUn altro tipo di tecnica di iniezione del codice, come lo scripting tra sito. I visitatori di un sito Web che mostrano informazioni che non gli piacciono potrebbero tentare di attacchi di iniezione di SQL per disabilitare il sito, rubare i dati o alterare i dati per distruggere la missione delle persone dietro il sito.
A volte un attacco di iniezione SQL viene tentato contro un sito web da un visitatore scontento che avrebbe potuto avere il proprio account bandito dai proprietari del sito, che invidia la popolarità del sito o che cerca di distruggere il business online di qualcuno che considera un nemico. La conoscenza di SQL è ovviamente richiesta per lanciare un attacco di iniezione SQL, ma non è generalmente considerato un linguaggio molto difficile da imparare, rispetto ad altri linguaggi di programmazione e molto può essere realizzato solo con una comprensione di base, ma solida, di come usarlo. Ciò significa che ci sono un buon numero di persone che navigano nell'intERNET che ha l'abilità necessaria per tentare l'iniezione di SQL contro un sito Web.
Gli sviluppatori Web, in particolare quelli che sono specializzati nello sviluppo web di back-end, sono responsabili di garantire che i siti che programmi siano sicuri contro l'iniezione di SQL. C'è quasi sempre più di un modo per ottenere una sicurezza così importante e la maggior parte di questi metodi sono considerati soluzioni semplici ma molto efficaci. Ad esempio, uno sviluppatore può utilizzare la funzione mysql_real_escape_string () o istruzioni preparate durante lo script nel linguaggio di preprocessore ipertestuale (PHP). I metodi scelti per proteggersi dagli attacchi devono essere attentamente considerati, poiché le prestazioni del sito nel suo insieme non possono essere ignorate anche quando si imposta la sicurezza.