Журнал «Continuum. Математика. Информатика. Образование»
Выпуск №4 (4) (2016)
SQL ИНЪЕКЦИЯ И КАК ЗАЩИТИТЬСЯ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
Статья посвящена рассмотрению проблемы атак на сайты через SQL инъекцию. Особое внимание уделено основным способам взлома сайтов через SQL инъекции, включающим внедрение в стоковые параметры, использование оператора UNION, экранирование хвоста запроса, расщепление SQL запроса, выполнение команд на сервере, Названные способы широко используются для получения несанкционированного доступа к управлению сайта. Анализируется статистика атак на сайты и веб приложения, представленная корпорацией IBM Security, а также отчет akamai’s [state of the internet] / security, представленный компанией Akamai, показавший увеличение нападений SQL инъекциями на 87 % в 1 квартале 2016 года по сравнению с предыдущим кварталом. Основной процент атак (60 %) приходится на сайты, содержащие медиа и развлекательный контент, 30 % - на сайты, которые предоставляют онлайн услуги, 10 % - на правительственные сайты. В работе описываются основные способы защиты сайтов от SQL инъекций через подготовленные запросы и подготовленные запросы - выборка. Рассмотренные подготовленные запросы могут лечь в основу разработки любого веб-приложения, что поможет увеличить защиту от SQL инъекций и получения несанкционированного доступа в администраторскую часть сайта.
Ключевые слова
несанкционированный доступ; атака; SQL инъекция; мошенничество; интернет; безопасность сайтов; статистика атак; unauthorized access; attack; SQL injection; fraud; the Internet; security sites; statistics attacks
SQL INJECTION AND HOW TO PROTECT AGAINST UNAUTHORIZED ACCESS
The article considers the problem of attacks on sites through SQL injection. Particular attention is paid to the basic methods of hacking websites via SQL injection, including the introduction of stock options, the use of the UNION operator, the shielding query tail, splitting the SQL query, execute commands on the server, said method is widely used to gain unauthorized access to the Site Management. We analyze the statistics of attacks on websites and web applications provided by IBM Security Corporation, as well as akamai's report [state of the internet] / security, presented by Akamai's, which showed an increase in attacks against SQL injection by 87% in Q1 2016 compared to the previous quarter. The main percentage of attacks (60%) falls on sites containing media and entertainment content, 30% - on the sites that provide online services, 10% - on the government websites. The paper describes the main ways to protect sites against SQL injection through the prepared questions and prepared queries - sampling. Consideration of the prepared queries can be the basis for any web-based applications that help increase the protection against SQL injection and gain unauthorized access to the administrator of the site.
Список литературы
-
Гольцман В. MySQL 5.0. СПб: Питер, 2009.
-
Кевин Янк PHP и MySQL. От новичка к профессионалу. М.: Эксмо, 2013.
-
IBM X-Force Interactive Security Incidents [Электронный ресурс]. URL: http://www-03.ibm.com/security/xforce/xfisi/
-
Akamai’s [state of the internet] / security Q1 2016 report [Электронный ресурс]. URL: https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/akamai-q1-2016-state-of-the-internet-security-report.pdf
-
Безопасность баз данных [Электронный ресурс]. URL: http://php.net/manual/ru/security. database.php
-
Гольцман В. MySQL 5.0. СПб: Питер, 2009.
-
Кевин Янк PHP и MySQL. От новичка к профессионалу. М.: Эксмо, 2013.