SQL-инъекция — это атака, которая базируется на внедрении произвольного SQL-кода в легитимный запрос к базе данных. 4 Обычно осуществляется в три этапа: 1

1. Поиск веб-приложений, которые используют запросы SQL для работы с БД. 1
2. Исследование этих приложений для обнаружения уязвимых точек, где может быть внедрён код SQL. 1 Как правило, уязвимыми оказываются поля, куда пользователи вводят регистрационные данные, чаще всего логин и пароль. 1
3. Ввод сформированного SQL-кода в форму запроса или параметр URL, который передаётся на сервер БД. 1 Если сервер БД не защищён от SQL-инъекции, код SQL успешно выполняется, так что взломщики получают доступ к базе данных и могут проводить любые операции. 1

Некоторые способы защиты от SQL-инъекции:

• Проверка входных данных. 1 Позволяет автоматически удалять потенциально опасный код из SQL-запросов. 1 Такая проверка реализуется через фильтрацию ввода в веб-формах и URL. 1
• Параметризованные запросы. 12 Обеспечивают передачу входных данных (имя пользователя или пара «логин — пароль») отдельно от самого кода, то есть данные не вставляются в запрос напрямую. 1
• Встроенные функции фреймворков. 1 Помогают составлять SQL-запросы безопасно. 1 Функции валидации проверяют типы данных, длину строк и другие характеристики, а также применяют фильтры, чтобы удалять или экранировать небезопасные символы. 1
• Ограничение прав доступа. 1 Предполагает использование принципа наименьших привилегий, чтобы только определённые пользователи могли выполнять важные операции в БД. 1
• Регулярные обновления ПО. 1 Позволяют избавиться от уязвимостей, которые обнаружили и исправили разработчики. 1
• Межсетевой экран. 1 Использует списки сигнатур (уникальные описания вредоносного кода), характеризующих опасные векторы атак. 1 Это позволяет оперативно блокировать подозрительные SQL-запросы. 1
• Обучение сотрудников кибербезопасности. 1 Делает компанию и её продукты более устойчивыми к действиям злоумышленников. 1