drongold.ru

- сайт про мобильные телефоны, ноутбуки, планшеты, компьютеры, ПК


 

SQL Injection

 

   Любой сайт при обработке запросов от пользователей, как правило, обращается к своей базе данных. В ней может содержаться различный контент: текст, фотографии, музыка, видео и т.д., который может и не представлять особый интерес для хакера. Помимо этой «безобидной» информации в базе данных также хранятся данные, предназначенные только для определенных лиц, а также авторизационные параметры пользователей. Вот на них-то и может объявить охоту злоумышленник.

   Работа сервера основана на выполнении PHP-скриптов, которые в определенных участках кода обращаются с запросом к базе данных. Например, строчка: $result = mysql_query("…") означает, что сервер должен перебрать таблицу базы данных в соответствие с определенным критерием, а результат возвратить в переменную result. Но перед этой строчкой настраиваются другие переменные, которые впоследствии служат параметрами запроса к базе данных. Манипулируя этими параметрами, можно возвращать различные результаты запроса. Значение этих параметров задаются пользователем неявно и некоторые из них можно видеть в адресной строке браузера после знака «?». Например, в строчке site.ru/script.php?id=5 видно, что на сервер передается параметр id=5, который, скорее всего, станет параметром запроса к базе данных. Но если в качестве параметров подставлять некоторые синтаксические конструкции языка запросов, то можно добиться как получения любых данных с сервера, так и размещения своих, которые могут вызвать не только сбой в работе, но и отказ в обслуживании.

  

   Такой вид взлома получил название SQL Injection и является дольно распространённым случаем хакерских атак. Перед злоумышленником стоит задача исследовать сервер на предмет уязвимости в программном коде путем изменения параметров запроса, и, если таковая обнаружится, дальнейший исход злонамеренний действия предугадать сложно.

   Администраторы сайтов тщательно следят за состоянием своего сервера, а знание существующих методов взлома позволят избежать катастрофических последствий.

 

Сообщения, отзывы и комментарии посетителей сайта

Еще нет комментариев
Оставить комментарий

Похожие записи