2009-03-16

SQL injection алдаанаас хэрхэн хамгаалах вэ? 1-р хэсэг.


Вэб сервер үрүү хэрэглэгчээс ирж буй мэдээллийг заавал шалгаж байх гэсэн алтан дүрэм байдаг. Иймд формын утгыг дараах аргуудаар хязгаарлаж байх нь SQL injection алдаанаас хамгаалах болно.

1. Сервер талдаа уртыг хязгаарлах

2. Тохирсон өгөгдлийг шалгах. Тухайлбал зөвхөн тоо авах утганд тооноос өөр утга байгааг шалгах.

3. Хоосон зай болон SQL бичлэгт ашиглагддаг тэмдэгтүүдийг шалгаж, цэвэрлэх

4. Параметр-т(Parameterized query) хэлбэрийн Query ашиглах

5. Холболтын эрхийг хязгаарлах. Тухайлбал зөвхөн мэдээлэл унших SELECT query ашиглаж байгаа бол READ ONLY эрхээр холболт хийх.

6. Алдааны мэдээллийг дэлгэрэнгүй Debug хэлбэрээр өгөхгүй байх.

7. Нууц мэдээлэл хадгалдаг талбаруудыг кодлох.

Дараагийн нийтлэлүүд дээрээ дээрх аргуудыг тайлбарлан түгээмэл ашиглагддаг PHP, ASP, JAVA хэлүүд дээр жишээ бичих болно.

1 comment:

  1. Ёстой хэрэгтэй блог байна. амжилт хүсье! :D

    ReplyDelete