Primul portal
dedicat controlului riscurilor.
 Duminica, 17 decembrie 2017

Alerte de risc NOU!
Prezentare alerte de risc
Modele de alerte de risc
Resurse
Știri
Anunturi
Articole si recenzii
Legislatie specifica
Glosare
Întrebari & raspunsuri
Programe TV
Download software
Ghiduri practice
Cursuri si seminarii NOU!
Utile
Interactiv
Newsletter
Prognoze de risc
Chestionar
Prevenirea pierderilor
Pentru companii
Pentru persoane
Clasificarea riscurilor
Furnizori de solutii
Securitate fizica
Asigurari
Consultanta
Securitate IT&C
Auto si accesorii
Proprietate intelectuala
Instrumente financiare
Diverse
Bursa solutii preventive
Cereri de oferta
Promovare
Despre noi
Oferta publicitate
Sponsori
Contactati-ne

 
Cabinet avocat Bucuresti

   
  HOME    Detalii :: Glosare
Atac prin inserție SQL

Este numit și SQL Injection; desemnează o categorie de atacuri îndreptate asupra bazelor de date care oferă o interfață interactivă cu exteriorul, atacuri care exploatează deficiențe de proiectare ale interfeței respective. Denumirea este dată de numele celui mai popular limbaj utilizat în prezent pentru manipularea datelor în sistemele de gestiune a bazelor de date (SQL - Structured Query Language), atacul constând în a "convinge" sistemul să execute cod SQL pe care în mod normal nu ar trebui să aiba voie să-l execute. Scenariul clasic e acela al unei baze de date cu care utilizatorul interacționează prin intermediul unei pagini web, completând câmpuri într-un formular online și apoi așteptând din partea sistemului o serie de rezultate determinate pe baza valorilor introduse. Iată un scurt exemplu: să presupunem, pentru simplitate, că un sistem gestionează o bază de date cu produse, informațiile fiind stocate într-un tabel denumit, să spunem, tbl_prod, iar utilizatorului i se oferă un formular cu un câmp în care poate completa un preț, urmând ca sistemul să afișeze lista produselor având prețul respectiv. Daca utilizatorul introduce, să spunem, valoarea 550, sistemul ar urma să execute o interogare SQL de forma:

SELECT * FROM tbl_prod WHERE price = 550

Dacă însă utilizatorului i se permite să introducă orice în câmpul din formular, iar sistemul acceptă interogări SQL multiple, separate, să spunem prin caracterul ; (punct si virgula), atunci textul "45; DELETE * FROM tbl_prod" introdus de utilizator declanșează un răspuns de forma:

SELECT * FROM tbl_prod WHERE price = 45; DELETE * FROM tbl_prod

ceea ce are ca efect ștergerea datelor din tabelul respectiv.



Alte stiri si articole din aceeasi categorie:
Stiri
Sectiune de download

Atacurile prin phishing cresc ingrijorator.

Microsoft corecteaza vulnerabilitati importante

Strategia privind securitatea informatică, supusă consultării publice

Google a rezolvat vulnerabilitatea care aparea in combinatie cu Internet Explorer

BitDefender a lansat o solutie antivirus pentru telefoane mobile.

Romtelecom a inaugurat un centru de date de inalta securitate

Standarde pentru evaluarea securității sistemelor informatice

Studiu: continuitatea afacerilor, extrem de importanta in Europa si America de Nord

Tehnologia BitDefender va fi integrată în soluțiile companiei americane ISS.

Articole
Cum sa va feriti de fraudele bancare

Starea securității IT în 2006 si prognoza pentru 2007

Analiza GECAD NET privind vulnerabilitatile informatice; Prognoze 2006



inapoi


recomanda acest site  |  printeaza pagina printeaza pagina
  Copyright © 2002 - 2009 Inoventis srl
  Toate drepturile rezervate.
Regulamentul de utilizare | Harta site-ului | Contact