Estructuradas de inyección o inserción ataques Query Language (SQL) intentan explotar vulnerabilidades en la base de datos de una aplicación mediante el uso de campos de entrada de usuario para consultar una base de datos. Para evitar ataques de inyección SQL, un desarrollador de aplicaciones debe saber cómo pueden ocurrir.
tipos
Un hacker puede utilizar los ataques de inyección SQL para intentar obtener acceso a la información de base de datos. Se puede utilizar campos de formulario para introducir los comandos SQL con caracteres de escape integrados como un parámetro para consultar una tabla y tiene que devolver registros que no debería tener acceso.
Prevención / Solución
Un programador de bases de datos debe unir cada pieza de entrada del usuario para un parámetro que se puede comprobar y caracteres de escape del filtro y tipos incorrectos. Una vez que el programa comprueba y da formato a los datos del usuario, puede usarlo para ejecutar el comando SQL.
Hecho
Albert González y otros 10 cometieron el mayor caso de fraude de tarjetas de crédito en la historia de Estados Unidos. González fue encontrado culpable de usar los ataques de inyección SQL para acceder a las redes de tiendas para robar más de 130 millones de números de tarjetas de crédito, y en agosto de 2009 se declaró culpable de los cargos de robo de identidad.