La Sql Injection è una tecnica di attacco informatico mirata ad aggredire le base di dati di applicativi web, ma non solo.
L'idea alla base di questa tecnica è semplice ma allo stesso tempo geniale, sfruttando i form per l'input dati delle pagine web, uno sviluppatore male intenzionato potrebbe inserire dei caratteri speciali all'interno del campo che se non opportunamente trattati in via preliminare potrebbero modificare la sintassi della query d'interrogazione, ottenendo così liste dati, cancellazione d'interi database o modifiche parziali dei dati.
L'esempio classico è quello di aggiungere dei commenti per annullare l'istruzione sql leggittima e proseguire poi con quella malevole ponendo condizioni sempre vere (... WHERE 1=1) per ottenere elenchi dati o peggio usare DELETE per la formattazione totale.
Un buon sviluppatore web deve sempre porre grande attenzione a possibili attacchi di SQL injection poiché potrebbero rivelarsi davvero disastrosi.
Come prevenire attacchi SQL-Injection in LAMP?
Come prevenire attacchi SQL-Injection in sistemi LAMP? Quali sono le precauzioni da prendere e come bisogna trattare i dati prima di inserirli nel database?
In Corso
2
MySql
07-06-2018
1 Risposta
765 Visite
Quali caratteri mettere con escape quando si fa una query sql?
Evitare brutte sorprese o attacchi di sql injection aggiungendo le giuste sequenze di escape per caratteri speciali in una query sql su database Mysql
In Corso
1
MySql
24-05-2018
3 Risposte
4205 Visite
1