Как сохранить ваши базы данных от хакерских атак?

хакерская атака

Хакеры используют внедрение в Structured Query Language (SQL), чтобы украсть или удалить данные на сервере. В некоторых случаях, когда безопасность на сервере баз данных не обеспечена должным образом, хакер может получить права администратора и оставить ваши базы данных и даже веб-сервера открытыми для атак. Блоги, сайты с публикациями и сайты электронной коммерции, находятся под угрозой SQL-взломов. Даже SSL-сертификаты не защищают от SQL-иньекций, поэтому вебмастера и разработчики веб-приложений должны использовать стандарты программирования и безопасности для защиты от потери и краж данных.

Как хакер использует SQL внедрение?

Движки для баз данных MySQL и SQL Server (наиболее популярных баз данных, используемых в интернете) используют язык SQL для вставки, изменения и удаления записей из таблиц базы данных. Когда вы запускаете оператор SQL на сервере, база данных выполняет код SQL и заканчивает оператор, используя точку с запятой.

Некоторые вебмастера используют динамический запрос SQL, к примеру, для создания формы входа на сайте. Например, вебмастер может создать запрос «Выбрать» для входа в аккаунт клиента на сайте. Следующий код является примером запроса на выборку в SQL:

SELECT first_name, last_name, account FROM customer WHERE account=’myaccount’

Этот код извлекает информацию о клиентах из базы данных и возвращает результаты в форму авторизации на сайте. Приведенный выше код извлекает одну запись, но хакер использует SQL-иньекции для получения всех записей из базы данных. В этом примере могут быть украдены имена, фамилии и имена учетных записей пользователей. Также злоумышленник может украсть номера кредитных карт и другие личные данные непосредственно при взломе веб-страницы. Кроме этого, существует ещё несколько разновидностей типов атак.

Какие меры рекомендуется принимать для защиты данных:

1. Лучшая мера безопасности для любого владельца сайта — использование хранимых процедур. Даже если разработчик использует коммерческий хостинг, провайдер обычно предлагает утилиты управления базами данных, которые позволяют создавать хранимые процедуры.

2. Очищайте любые данные в динамическом SQL-предложении апострофом, точкой с запятой и двойным тире. Заменить один апостроф на двойной, так что база данных будет переводить код в буквальный апостроф в строке.

3. Создайте отдельную учетную запись пользователя базы данных для каждого веб-сайта, который работает на ваших серверах. Ограничьте привилегии этих учетных записей. Оставьте привилегии учетной записи для таблиц базы данных и никогда не назначать любые административные привилегии на учётную запись, которая работает от кода вашего сайта.

4. Старайтесь не использовать динамические SQL-предложения. Некоторые разработчики сайтов устанавливают динамические SQL-предложения на основе пользовательского ввода. Вместо динамических предложений, можно создать отдельные хранимые процедуры с входными параметрами.

5. Шифруйте конфиденциальные данные. Если хакер всё-таки получает доступ к базе данных, зашифрованные пароли, идентификационные номера и номера кредитных карт оставляют его ни с чем. Шифрование на любом поле таблицы, которая содержит конфиденциальные данные, должно быть реализовано в дополнение к SSL-шифрованию на сайте.

Почитать про создание сайтов в Киеве можно на сайте webklaster.com.ua. Там же можно посмотреть примеры красивых рисованных сайтов, которые разработала эта веб-студия. О безопасности они тоже не забывают.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *