SQL-инъекция

Материал из Энциклопедия фан-клуба Лаборатории Касперского
Перейти к: навигация, поиск

Внедрение SQL-кода (англ. SQL injection) — один из распространённых способов взлома сайтов и компьютерных программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода.

Внедрение SQL, в зависимости от типа используемой реляционной СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере.

Атака типа внедрения SQL может быть возможна из-за некорректной обработки входных данных, используемых в SQL-запросах.

Разработчик прикладных программ, работающих с базами данных, должен знать о таких уязвимостях и принимать меры противодействия внедрению SQL.

См. также

Личные инструменты
Пространства имён
Варианты
Действия
Навигация
Инструменты