Инструменты пользователя

Инструменты сайта


sql_injection

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
sql_injection [2019/02/13 04:17]
darkfire
sql_injection [2019/02/13 04:18] (текущий)
darkfire [Что такое SQL Injection защита]
Строка 13: Строка 13:
 Многие Web- приложения используют данные,​ переданные пользователем,​ для создания динамических Web- страниц. Если информация,​ полученная от клиента,​ должным образом не верифицируется,​ атакующий получает возможность модифицировать запрос к SQL- серверу,​ отправляемый приложением. Запрос будет выполняться с тем же уровнем привилегий,​ с каким работает компонент приложения,​ выполняющий запрос (сервер СУБД, Web-сервер и т.д). В результате злоумышленник может получить полный контроль на сервером СУБД и даже его операционной системой. С точки зрения эксплуатации SQL Injection очень походит на LDAP Injection. Многие Web- приложения используют данные,​ переданные пользователем,​ для создания динамических Web- страниц. Если информация,​ полученная от клиента,​ должным образом не верифицируется,​ атакующий получает возможность модифицировать запрос к SQL- серверу,​ отправляемый приложением. Запрос будет выполняться с тем же уровнем привилегий,​ с каким работает компонент приложения,​ выполняющий запрос (сервер СУБД, Web-сервер и т.д). В результате злоумышленник может получить полный контроль на сервером СУБД и даже его операционной системой. С точки зрения эксплуатации SQL Injection очень походит на LDAP Injection.
  
-  * ПримерПредположим,​ аутентификация в Web- приложение осуществляется с помощью Web- формы, обрабатываемой следующим кодом:+===== Пример ​SQL инъекция для веб формы ===== 
 + 
 + 
 +Предположим,​ аутентификация в Web- приложение осуществляется с помощью Web- формы, обрабатываемой следующим кодом:
 <​file>​ <​file>​
 SQLQuery = "​SELECT Username FROM Users WHERE SQLQuery = "​SELECT Username FROM Users WHERE
sql_injection.txt · Последние изменения: 2019/02/13 04:18 — darkfire