با سلام چه جوری میشه جلوی هک های از نوع sql injection رو گرفت ؟
جلوگیری از هک sql injection
با سلام چه جوری میشه جلوی هک های از نوع sql injection رو گرفت ؟
پاسخ : جلوگیری از هک sql injection
شما باید یک سری موارد کد نویسی رو رعایت کنیدنوشته اصلی توسط mashhadweb
پاسخ : جلوگیری از هک sql injection
درزود
دوست عزیز موارد مربوط به sql injection بیشتر مربوط به نوع کد نویسی د encoding کدهای شما و query های ارسال به سرور میباشد اما مواردی هستش که کلی اگر رعایت کنید بسیار مفید هستند از جمله:
-چشم بسته به ورودیها اطمینان نکنید به معنای سادهتر، اعتبار و صحت هرگونه دادهای که در موتور SQL قرار داده میشود باید بررسی شود که به معنای این خواهد بود که ارگانها و سازمانها باید چارچوبهای امنیتی را در موقع طراحی رعایت و اجرا کنند که نیازمند اینست کهSQL با استفاده از کووریهای پارامتری شده ساخته شود، تکنیکی که نیاز به کدنویسی سنگینی دارد و از طریق آن حملات SQL Injection از طریق جداسازی کدهای اجرایی و اطلاعات ورودی از یک دیگر، مانع بروز این حملات میشود.
2-پیامهای خطایی که ایجاد میکنید با دقت بیشتری انتخاب کنید
معمولاً مهاجمان از پیامهای خطایی که در برنامه ایجاد شده است استفاده میکنند تا بفمند که بهتر است چگونه به پایگاه داده حمله کنند. برنامه نویسان و مدیران پایگاههای داده باید به خطاهایی که در هنگام ایجاد یک ورودی غیر معمول نمایش داده میشوند، توجه بیشتری داشته باشند. مثلاً خطای ‘نام کاربری نمیتواند شامل اعداد باشد’ را که توسط پایگاه داده برگردانده میشود در نظر بگیرید. همین اطلاعات کم می تواند به مهاجم این کمک را بکند که در قسمت نام کاربری اعداد را وارد نکند.
3-بستههای مکمل نرم افزارها و پایگاههای داده را به طور کامل تهیه و اجرا کنید
لازم به ذکر این نکته نیست که بستههای مکمل نرم افزاری باید به طور منظم به برنامه اعمال شوند. اعمال بستههای مکمل نرم افزاری یکی از تکنیکهای امنیتی مغفول است. دلیل این امر میتواند، ضعف مدیریتی، عدم اطلاع رسانی و یا ضعف اطلاع رسانی عرضه کننده و فروشندهی محصول و یا ترکیبی از این دو و دیگر عوامل باشد. بسیاری تنها راه برای حل این مشکل را استفاده از سیستم مدیریت بستههای مکمل میدانند که در اغلب موارد، با ایجاد یک مشکل کوچک، این برنامهها به شکست کشیده می شوند.
4-از ابزارهای رصد و مانیتورینگ شبکه استفاده کنید
رصد فعالیتهای مرتبط با دسترسی در سطح نرمافزارها، شاخصی است که میتواند شما به سرعت را از بروز حمله آگاه کند. راه حل ساده در این گونه موارد اینست که افزایش تعداد خطاها و یا افزایش در فعالیت، میتواند به عنوان ملاکی در نظر گرفته شود که به مدیر سیستم در مورد یک حملهی در حال انجام هشدار دهد.
5-ابزارهای *****ینگ را فراموش نکنید
نرم افزارهای امنیتی بلادرنگ در کنار سیستمهای مانیتورینگ از طریق *****کردن ترافیکهای مشکوک و نادیدهگرفتن دسترسی به پایگاه داده میتوانند برای دفع حملات در حین بروز آنها استفاده شوند.
6-امنیت پایگاه داده خود را ارتقاء دهید
استفاده از سیستمهای تصدیق هویت اضافی که ازتکنولوژی امضای منفرد(SSO)، استفاده میکنند، در کنار استفاده از کنترلهای امنیتی از برنامهها و پایگاههای Backend میتواند موجب ارتقاء محافظت از پایگاههای دادهی آسیبپذیر شود. مطلب دیگری که وجود دارد اینست که استفاده از سیستمهای تصدیق هویت High end نیز در این مورد بسیار کارساز است. این سیستمها این قابلیت را دارند تا ورود به سیستم را به همراه بازرسی و اعطای امتیازات ویژه برای کاربران اصلی را درکنار یکدیگر هم ارائه کند. به عبارت دیگر دسترسی ویژه فقط برای مدیران سیستم و پایگاه داده امکان پذیر است و چناچه دیگران سعی کنند، تا از این قابلیتهای ویژه که برای مدیران در نظر گرفته شده استفاده کنند، این موضوع ثبت خواهد شد و به عنوان فعالیت مشکوک گزارش خواهد شد.
ترکیب بهترین شیوهها و استفاده از تکنولوژیهایی آتیای که پس از محصول فعلی به بازار ارائه میشوند، در کار یکدیگر ثابت کرده است که بهترین روش برای مقابله با حملات SQL Injection که هنوز جزو دغدغههای شرکتهای بزرگ و کوچک است، میباشد.
:: کارشناس فنی هاستینگ و مدیریت سرور
:: کانفیگ حرفه ای سرور مجازی و اختصاصی و رفع اشکال سرور از سال 1388
:: وب سایت : www.nginxweb.ir | تلفن شرکت: 02191300834
پاسخ : جلوگیری از هک sql injection
نمونه زیر یک دریافت فرم خطرناک است که اطلاعات آن قبل از پردازش ف..تر نشده اند و به راحتی منجر به نفوذ هکر خواهد شد:
کد:$name= $_GET[‘name’];در اینجا متغییر $name اطلاعات را توسط متود get دریافت می کند, اما خبری از ایمن سازی و بررسی اطلاعات ارسالی get نیست ! استفاده از این متغییر در دیتابیس جهت جستجو یا ویرایش یا حتی حذف اشتباه هست!اما چگونه مقادیر get را امن کنیم؟ راه حل عبور اطلاعات از یک صافی هست,این صافی متشکل شده از سه تابع می باشد که جهت سهولت در یک تابع مورد استفاده قرار می دهیم.توابع stripslashes ,mysql_real_escape_string و addslashes .شکل کلی تابع و نحوه استفاده از آن :کد:function sqi( $value ){ if( get_magic_quotes_gpc() ){ $value = stripslashes( $value ); } if( function_exists( “mysql_real_escape_string” ) ){ $value = mysql_real_escape_string( $value ); } else { $value = addslashes( $value ); } return $value; }$name= $_GET[‘name’];$name= sqi($name);در فایل بالا متغییر $name دارای امنیت کافی می باشد! البته ما در این مثال از دستور get استفاده کردیم, متود های ارسالی post و همچنین خواندن اطلاعات کوکی ها باید با این روش امن شوند.کد:$_COOKIE[”] $_REQUEST[”]
█ سنترال هاستینگ - اولین سرویس دهنده DDoS Protected ایرانی!
█ شرکت ایمن میزبان راهبر کاسپین (شماره ثبت : 1799 شناسه ملی: 14006354907 )
پاسخ : جلوگیری از هک sql injection
از pdo استفاه کنید یا هم داده های ورودی رو ***** کنید .
در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)
مجوز های ارسال و ویرایش
پاسخ با نقل قول