Web7: SQL injection - Các cách phòng chống & kết luận

Thảo luận trong 'Web Security' bắt đầu bởi Mask, 26/02/14, 04:02 PM.

  1. Mask

    Mask VIP Members

    Tham gia: 03/07/13, 08:07 AM
    Bài viết: 25
    Đã được thích: 23
    Điểm thành tích:
    18

    Web7: SQL injection - Các cách phòng chống và kết luận



    Các chuyên đề nhỏ cùng chủ đề:

    Các cách phòng chống

    Trong các bài viết trước, tôi đã trình bày về cách thức tấn công, các kĩ thuật bypass để khai thác lỗ hổng SQL injection. Ở bài viết này, tôi sẽ nói về cách phòng chống lỗ hổng nguy hiểm này.

    Ngay từ khái niệm, chúng ta đã có thể biết được cách phòng chống hiệu quả Sql injection chính là việc kiểm tra kỹ càng tham số đầu vào. Những tham số mà từ đó người lập trình website sử dụng để xây dựng lên câu truy vấn tới cơ sở dữ liệu.

    Công việc kiểm tra tham số đầu vào (áp dụng phòng tránh lỗi Sql injection) nên được tiến hành theo nhiều tầng:
    • Client: javascript (có thể bypass bằng các phần mềm tamper)
    • Server: C#, php, jsp
    - Kiểm tra kiểu của dữ liệu: đối với dữ liệu kiểu số, kiểu chuỗi … chúng ta phải có những hàm validate tương ứng.

    o Nếu là kiểu int:
    • ASP.NET: Int32.Parse(/*Param*/);
    • PHP: is_numeric($var), is_int($var), is_integer($var)...
    o Nếu là kiểu chuỗi:
    • Thiết lập độ dài tối đa cần thiết: length
     
    Last edited by a moderator: 26/02/14, 04:02 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan