SQL Injection a zabezpečení
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
Reklama

SQL Injection a zabezpečeníSQL Injection a zabezpečení

 
Hledat
Moderní platforma pro vytvoření vašeho nového webu – Wix.com.
Nyní už můžete mít web zdarma.
Vybavení pro Laser Game
Spuštěn Filmový magazín
Laser Game Brno

SQL Injection a zabezpečení

Google       Google       23. 4. 2007       45 229×

Už jste někdy o tomto pojmu slyšeli, ale nevíte, jak vaši webovou aplikaci zabezpečit? Právě pro vás je určen tento článek.

Reklama
Reklama

SQL Injection je na Internetu hojně používaný pojem, najdete ho jak na různých stránkách rádoby hackerů, tak i na fórech programátorů. Pro hackery je to užitečná bezpečnostní díra a pro programátory noční můra. Pod tímto pojmem se skrývá podvržení vstupních dat z formulářů nebo jiných vstupů s cílem změnit výsledek SQL dotazu. Tato chyba se nachází na spoustě webových aplikací, a proto jsou ohroženy.

Co vám hrozí

Přinejlepším se útočník dostane tam, kam nemá, ale neprovede nic s vaší aplikací; v horším případě se dostane třeba k uživatelským heslům (spíše hashům hesel) a v nejhorším případě vám smaže tabulky nebo upraví jejich obsah.

Příklady a obrana

Teď si ukážeme několik příkladů, kde se dá aplikovat SQL injection, a povíme si něco o tom, jak tyto trhliny zabezpečit.

Zobrazení článku podle jeho ID

Pro zobrazení článku pomocí ID nám může posloužit tento dotaz:

//nezabezpeceny nachylny dotaz
$dotaz = "select * from clanky where id = '$_GET["id"]'";

Tento kód načítá vše z tabulky clanky kde id = proměnné id z adresy. Jak vidíte, tento vstup není nijak chráněný, a tak útočník může zadat tento dotaz do adresy:

clanek.php?id=1 and 1=1/*

Pokud se nám zobrazí článek, útočník pozná, že je zde chyba, které může zneužít:

clanek.php?id=1 and truncate table clanky/*

Tímto dotazem vám vyprázdní tabulku clanky, ale může vám ji také smazat, vložit do ní nové údaje, no prostě fantazii se meze nekladou – vás spíš bude zajímat, jak se proti takovému útoku bránit:

Pokud má být id číslo, tak použijeme funkci is_numeric():

$id = $_GET["id"];
//kontrola, zda je id cislo
if (!is_numeric($id)): 
echo "Toto ne!";
else:
$dotaz = "select * from clanky where id='$id'";
endif;

Tímto jsme zabránili vložení jakéhokoliv SQL dotazu do adresy, protože se kontroluje, jestli je proměnná id číslo nebo ne, pokud ne, vypíše se: Toto ne!, pokud ano, proběhne dotaz na databázi.

Pokud ale má být id typu string, že by se vybíralo třeba podle názvu článku, tak zabezpečíme takto:

//kontrola, zda je id string
if (!is_string($_GET["id"])): 
echo "Toto ne!";
else:
//escapovani nebezpecnych znaku
$id = mysql_real_escape_string($_GET["id"]);
$dotaz = "select * from clanky where id = '$id'";
endif;

Tímto jsme zabezpečili i aplikaci, kde má být id typu string.

Toto byl jednoduchý příklad SQL Injekce a také jednoduchý příklad ochrany. Zásadou při psaní každé webové aplikace je kontrola a zabezpečení všech vstupních polí od uživatele, tzn. escapování všech znaků, na některých serverech to za nás dělá direktiva magic_quotes_gpc, ale ne vždy je dobré se na toto spoléhat. Kontrolujte, zda proměnné jsou stejného typu, jaký vy požadujete (ukázáno v předchozím příkladu). Všechny výstupy, které nechcete formátovat pomocí HTML, například komentáře nechte ošetřit pomocí funkce html_entities() nebo pomocí html_specialchars(), abyste zabránili také XSS (Cross-site-scripting).

Pokud také programujete aplikaci, kde se ukládají hesla do databáze, hashujte je, aby se útočník dostal jen k hashům, které tak rychle nerozluští a i kdyby ano, je velká chyba programátora, když ukládá hesla jako plain text.

Funkce, které by vám mohly pomoci při zabezpečování svých aplikací:

Zde se můžete o této problematice dozvědět mnohem více:

Zdroj: http://www.spidynamics.com/papers/SQLInjectionWhitePaper.pdf

×Odeslání článku na tvůj Kindle

Zadej svůj Kindle e-mail a my ti pošleme článek na tvůj Kindle.
Musíš mít povolený příjem obsahu do svého Kindle z naší e-mailové adresy kindle@programujte.com.

E-mailová adresa (např. novak@kindle.com):

TIP: Pokud chceš dostávat naše články každé ráno do svého Kindle, koukni do sekce Články do Kindle.

Hlasování bylo ukončeno    
0 hlasů
Google
Autor se zajímá o programování internetových aplikací v PHP a také o zebezpečení počítačových sítí a aplikací.

Nové články

Obrázek ke článku Už v roce 2022 proteče průměrným chytrým telefonem 11 GB dat měsíčně, říká studie Cisco

Už v roce 2022 proteče průměrným chytrým telefonem 11 GB dat měsíčně, říká studie Cisco

V roce 2022 bude vlastnit mobilní zařízení 5,5 miliardy lidí (71 % světové populace), celkový počet mobilních zařízení připojených k internetu přesáhne 8 miliard a průměrný chytrý telefon přenese 11 GB dat měsíčně. Vyplývá to ze studie Cisco Mobile Visual Networking Index, která předpovídá budoucí vývoj mobilního datového provozu. Ta si dále všímá toho, že uživatelé budou stále více využívat Wi-Fi připojení. I proto se počet Wi-Fi hotspotů celosvětově zvýší na více než půl miliardy.

Reklama
Reklama
Obrázek ke článku Průmyslové firmy chtějí zkrátit proces přijímání lidí ze zemí mimo EU. Inspiraci vidí v Polsku.

Průmyslové firmy chtějí zkrátit proces přijímání lidí ze zemí mimo EU. Inspiraci vidí v Polsku.

Pokud chtějí průmyslové firmy v Česku obsadit volné místo uchazečem ze země mimo Evropskou unii, znamená to pro ně i půlroční čekání. Výrazně to přitom pociťuji i na vynaložených nákladech. Svaz průmyslu a dopravy chce proto zkrátit měsíční lhůtu vyvěšení volné pozice na Úřadu práce. Průmyslové firmy a personalisté by však volili komplexnější zjednodušení, o pracovní povolení by měli žádat přímo zaměstnavatelé. Jako vzor uvádějí dlouhodobě fungující systém v Polsku či Maďarsku.

Obrázek ke článku Pět mýtů spojených s tvorbou e-shopů

Pět mýtů spojených s tvorbou e-shopů

Chuť Čechů nakupovat online stále roste a internetovým obchodům se v Česku daří. I proto o vlastním e-shopu přemýšlí i podnikatelé, kteří si dosud vystačili s kamennou prodejnou nebo profilem na sociální síti či prodejním portálu. Kolem samotné tvorby webu však stále panuje řada mýtů, které mnohdy od založení e-shopu zbytečně odrazují

Obrázek ke článku Konference: Cloud computing rychle mění firemní IT

Konference: Cloud computing rychle mění firemní IT

Cloud computing se během několika posledních let stal samozřejmostí a jeho využití stále roste. Drtivá většina velkých firem již disponuje multicloudovou strategií, v průměru používají více než 3 cloudy současně a s dalšími experimentují. Co přesně cloud firmám přináší? Na jaké problémy lze při jeho využívání narazit? I na tato témata se zaměřuje konference Cloud computing v praxi, která se koná 21. 3. 2019 v pražském Kongresovém centru Vavruška na Karlově náměstí 5.

Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032019 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý