Внедрение языка структурированных запросов (SQL) - это тип атаки, который почти всегда предпринимается против веб-сайта, управляемого базой данных. Это попытка вставить вредоносный код в SQL-запросы сайта, чтобы помешать управлению данными, уничтожая, изменяя или раскрывая данные, хранящиеся в таблицах базы данных, которая управляет сайтом. SQL - это стандартный язык программирования, используемый для создания, обновления и извлечения данных, хранящихся в базах данных.

Опасности атак SQL-инъекций многочисленны и часто очень разрушительны, когда они успешно выполнены. Злоумышленники могут подвергаться воздействию конфиденциальной информации, такой как номера кредитных карт, медицинские карты человека, имена пользователей и пароли для учетных записей, таких как онлайн-банкинг и электронная почта, а также различные типы идентификационных номеров. Хотя кража данных, вероятно, является основной целью любого, кто пытается использовать SQL-инъекцию, это не единственная мотивация для использования этого или любого другого типа метода внедрения кода, такого как межсайтовый скриптинг. Посетители веб-сайта, отображающие информацию, которая им не нравится, могут пытаться использовать атаки с использованием SQL-инъекций, чтобы отключить сайт, украсть данные или изменить данные, чтобы разрушить миссию людей, стоящих за сайтом.

Иногда атака с использованием SQL-инъекции предпринимается против рассерженного посетителя, который мог заблокировать свой аккаунт владельцами сайта, который завидует популярности сайта или пытается уничтожить онлайн-бизнес того, кому он или она считает быть врагом. Знание SQL, очевидно, необходимо для запуска атаки с использованием SQL-инъекций, но в целом это не считается очень сложным для изучения языком по сравнению с другими языками программирования, и многое можно сделать, только имея базовое, но четкое понимание того, как его использовать. Это. Это означает, что есть много людей, которые выходят в Интернет, которые имеют необходимый навык для попытки SQL-инъекции на веб-сайт.

Веб-разработчики, особенно те, которые специализируются на серверной веб-разработке, несут ответственность за обеспечение защиты сайтов, которые они программируют, от внедрения SQL-кода. Почти всегда существует несколько способов достижения такой важной безопасности, и большинство из этих методов считаются простыми, но очень эффективными решениями. Например, разработчик может использовать функцию mysql_real_escape_string () или подготовленные операторы при написании сценариев на языке гипертекстового препроцессора (PHP). Методы, выбранные для защиты от атак, должны быть тщательно продуманы, поскольку производительность сайта в целом нельзя игнорировать даже при настройке безопасности.