الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب الحلول

عام 0 geek4arab
Spread the love
ما هي الحلول ؟
بعد أن وضحنا المخاطر الفعلية وراء هذه النوعية من الهجمات ، إسمح لي عزيزي القارئ أن أطرح بعض الحلول و الوسائل لصد هذا النوع من الهجمات ، في ما يلي سأستعرض هذه الحلول على شكل نقاط :

1- لا تقم بعرض رسائل خطأ تفصيلية في نظامك ، بعض المبرمجين للاسف يقوم بعرض رسائل خطأ تبين أين كانت المشكلة في الإستعلام ، في أي سطر ، و في أي جدول من قواعد البيانات ، هذه التفاصيل تعتبر تفاصيل ثمينة جدا للمخترقين ، حيث سيتمكنون من خلالها تكوين صورة كاملة عن بنية قاعدة البيانات الخاصة بنظامك و معرفة التركيب الفعلي لأوامر الإستعلامات حتى و إن لم يروا الشيفرة المصدرية !!

2- تحقق من كافة المدخلات التي يدخلها المستخدم ، على سبيل المثال ، اذا كان من المفترض أن يدخل المستخدم في هذا الحقل رقما ، فلا تسمح له بتاتا بإدخال أي شيئ عدا الأرقام ، أو إن كان هذا الحقل مخصص لعناوين البريد الإلكتروني ، فلا تسمح بكتابة شيء غير البريد الإلكتروني عن طريق التحقق بواسطة الـ Regular Expressions ، أيضا اللغات الحديثة للتطوير توفر مجموعة من الدوال تخلص المدخلات من الشوائب الغير نظامية في الإدخال ، فعلى سبيل المثال ، في نظام قواعد البيانات MySQL يمكن إستخدام الدالة التالية :

safeEscapeString($parameter)

حيث ستزيل هذه الدالة اي أوامر SQL تكتب في المتغيرات الممرة للنظام

3- عطل خاصية الإستعلامات المتداخلة Nested Queries في نظام قواعد البيانات الذي تستخدمه

في الختام ، أتمنى أن أكون قد وفقت في عرض معلومات مفيدة عن واحدة من أخطر أنواع الهجمات على تطبيقات الويب

تحياتي

الكاتب geek4arab

geek4arab

مواضيع متعلقة

التعليقات مغلقة