Ero sivun ”SQL-injektio” versioiden välillä
| [arvioimaton versio] | [arvioimaton versio] |
Poistettu sisältö Lisätty sisältö
p roboto: de:SQL-Injection estas artikolo leginda |
Ei muokkausyhteenvetoa |
||
Rivi 1:
'''SQL-injektio''' ({{k-en|SQL injection}}) on tekniikka [[tietoturva-aukko]]jen hyödyntämiseksi [[Tunkeutuminen (tietotekniikka)|järjestelmiin tunkeutumisessa]]. Niitä esiintyy [[tietokanta]]pohjaisissa sovelluksissa. Ne ovat varsin yleisiä [[World Wide Web|WWW]]-pohjaisissa sovelluksissa joissa käyttäjät käyttävät tietokantaa WWW-rajapinnan yli, mutta SQL-injektiot eivät sinällään ole WWW-sidonnaisia.
SQL-injektiossa hyökkääjä antaa tietokantapalvelimelle [[SQL]]-komentoja, joita hänen ei pitäisi pystyä antamaan. Tämä hyökkäys tapahtuu useimmiten puuttuvan tai väärin toteutetun syöttötiedon tarkistuksen kautta, ja joissain tapauksissa myös itse tietokantarajapinnassa tapahtuvan tiedon väärästä käsittelystä. Kaikki käyttäjältä tulevan tiedon oikeellisuus pitää tarkistaa: merkkijonojen SQL-erikoismerkit kuten lainausmerkki pitää merkitä erikoismerkeiksi (useimmiten tietokantarajapinnassa valmiiksi löytyvällä quote-operaatiolla), ja muiden tietotyyppien kohdalla pitää varmistaa, että ne ovat oikeassa muodossa (esimerkiksi numeroarvo on todella numeroarvo).
Klassinen esimerkki on esimerkiksi ohjelmakoodissa annettu komento (pseudokoodina):
| |||