حمله تزریق SQL و راه های مقابله با آن

یک تهدید امنیتی عبارت است از رخدادی که به یک دارایی اطلاعاتی آسیب وارد می کند. تهدیدها همواره وجوددارند، اما به خودی خود از حالت بالقوه به بالفعل تبدیل نمی شوند، بلکه هر تهدید با استفاده از یک یا چند آسیب پذیریبه دارایی ها آسیب میزند. حمله کننده ها می توانند از مسیرهای مختلفی در برنامه استفاده کنند تا به تجارت افراد آسیببرسانند. برنامه های کاربردی نقطه تمرکز حمله کنندگان هستند و اغلب سایت ها آسیب پذیری های جدی دارند برنامه هایکاربردی اهداف با ارزشی برای حمله کنندگان به حساب می آیند این اهداف می توانند داده مشتری، کارت اعتباری،سرقت شناسه، تغییر سایت و . . . باشد. علیرغم ارزیابی و کنترل مداوم بر روی فضای مجازی مورد استفاده، این فضاهمچون سایر جوامع انسانی در معرض تهدیدها و مخاطرات جدی است. از نفوذ داده های مخرب گرفته تا تخریبداده های سالم و از هم گسیختگی نظام شبکه داده و... همه در گرو اهمیت دادن به موضوع امنیت اطلاعات در شبکهداده هاست. تزریق SQL یک تکنیک تزریق کد است که به صورت معمول برای حمله به وب سایت ها استفاده می شود.افراد مخرب با وارد کردن کاراکترهای SQL و یا کلمات کلیدی به یک عبارت SQL منطق پرس و جو 1 را تغییرمی دهند. این حمله تمام برنامه های تحت وب را که از طریق عبارات SQL به پایگاه داده ها دسترسی دارند تهدیدمی کند. OWASP2 تزریق SQL را به عنوان یک ریسک امنیتی فراگیر معرفی کرده است. در سال 2012 NIST3گزارشی مبنی بر اینکه 289 آسیب پذیری در سایت های بزرگ از جمله Cisco, IBM و . . . یافت شده است این عددحدود 7% از کل حملاتی که این وبسایت ها را تهدید می کند می باشد.