एसक्यूएल इंजेक्शन

लेखक: Peter Berry
निर्मितीची तारीख: 13 ऑगस्ट 2021
अद्यतन तारीख: 22 जून 2024
Anonim
शुरुआती के लिए SQL इंजेक्शन - अभी एक प्रो हैकर से सीखें
व्हिडिओ: शुरुआती के लिए SQL इंजेक्शन - अभी एक प्रो हैकर से सीखें

सामग्री

व्याख्या - एस क्यू एल इंजेक्शन म्हणजे काय?

एसक्यूएल इंजेक्शन हा एक संगणक हल्ला आहे ज्यामध्ये दुर्भावनायुक्त कोड खराब-डिझाइन केलेल्या अनुप्रयोगात एम्बेड केला जातो आणि नंतर बॅकएंड डेटाबेसवर जातो. दुर्भावनायुक्त डेटा नंतर डेटाबेस क्वेरी परिणाम किंवा क्रियांची निर्मीती करते जे कधीच अंमलात आणले जाऊ नये.


मायक्रोसॉफ्ट अझर आणि मायक्रोसॉफ्ट क्लाऊडची ओळख | या संपूर्ण मार्गदर्शकामध्ये आपण क्लाउड संगणन करणे म्हणजे काय आणि मायक्रोसॉफ्ट अझर आपल्याला क्लाऊडवरून आपला व्यवसाय स्थलांतरित आणि चालविण्यात कशी मदत करू शकेल हे शिकाल.

टेकोपीडिया एस क्यू एल इंजेक्शन स्पष्ट करते

चला एसक्यूएल इंजेक्शन हल्ल्याच्या उदाहरणावरून जाऊ द्या:

बँकेचे ऑपरेशन्स चालविणार्‍या अ‍ॅप्लिकेशनमध्ये मेनूचा समावेश असतो जो ग्राहकांच्या सोशल सिक्युरिटी नंबरसारख्या डेटा पॉईंट्सचा वापर करुन ग्राहकांच्या तपशिला शोधण्यासाठी वापरला जाऊ शकतो. पार्श्वभूमीमध्ये अनुप्रयोगास एक एस क्यू एल क्वेरी कॉल करते जी प्रविष्ट केलेल्या शोध मूल्ये देऊन डेटाबेसमध्ये चालते:

निवडा ग्राहक_नाव, दूरध्वनी, पत्ता, तारीख_पुढील जन्म WHERE social_sec_no = 23425

या नमुना स्क्रिप्टमध्ये, वापरकर्त्याने सामाजिक सुरक्षा क्रमांक प्रविष्ट करण्याची विनंती करत अनुप्रयोग मेनू विंडोमध्ये 23425 मूल्य प्रविष्ट केले. त्यानंतर वापरकर्त्याने दिलेली व्हॅल्यू वापरुन डेटाबेसमध्ये एसक्यूएल क्वेरी चालते.

एसक्यूएल ज्ञानाचा वापरकर्ता अनुप्रयोग समजून घेऊ शकतो आणि सामाजिक सुरक्षा क्रमांकासाठी विचारल्यावर एकच मूल्य प्रविष्ट करण्याऐवजी, “23425 किंवा 1 = 1,” स्ट्रिंग प्रविष्ट करा जे डेटाबेसकडे खालीलप्रमाणे आहे:

ग्राहक_नाव, टेलिफोन, पत्ता, तारीख_पुढील जन्म कुठे सामाजिक_सेक_ना = २44२ 1 किंवा १ = १ निवडा

जेथे कलम महत्त्वपूर्ण आहे कारण त्यात असुरक्षितता आहे. डेटाबेसमध्ये, अट 1 = 1 नेहमीच खरी असते आणि क्वेरी क्लायंट सोशल सिक्युरिटी नंबर तपशील (23425) किंवा जेथे 1 = 1 परत करण्यासाठी निर्दिष्ट केली गेली आहे, क्वेरी सारणीतील सर्व पंक्ती परत करेल, जी नव्हती मूळ हेतू

वरील एसक्यूएल इंजेक्शन हल्ल्याचे उदाहरण सोपे आहे, परंतु अनुप्रयोगास बॅकएंड डेटाबेस क्वेरी किंवा आज्ञा चालविण्यास असुरक्षिततेचे शोषण कसे करते हे दर्शविते.

एसक्यूएल इंजेक्शन हल्ले योग्य designप्लिकेशन डिझाइनची खात्री करुन कमी करता येऊ शकतात, विशेषत: मोड्यूल्समध्ये ज्यांना डेटाबेस क्वेरी किंवा आज्ञा चालविण्यासाठी वापरकर्त्याच्या इनपुटची आवश्यकता असते. वरील उदाहरणात, अनुप्रयोग बदलला जाऊ शकतो जेणेकरून ते केवळ एक संख्यात्मक मूल्य स्वीकारेल.