Mənası: SQL inyeksiyası – verilənlərlə işləyən tətbiqi proqramlara hücum etmək üçün istifadə edilən kod inyeksiyası üsulu; icra ediləcək zərərli SQL operatorlarını yerinə yetirmək üçün tətbiqetmənin giriş səviyyəsindən istifadə edir.
Tərif
SQL inyeksiyası, kibercinayətkarların verilənlər bazasına icazəsiz daxil olmaq və ya verilənləri dəyişdirmək üçün istifadə etdiyi bir texnikadır. Bu texnika, tətbiqetmənin giriş formasına zərərli SQL sorğuları daxil etməklə işləyir. Tətbiqetmə bu sorğuları düzgün təsdiq etməzsə, zərərli kod icra edilə bilər və verilənlər bazasına ziyan vurula bilər.
İşləmə mexanizmi
Adətən, bir veb tətbiqi istifadəçinin daxil etdiyi məlumatları verilənlər bazasına sorğu göndərmək üçün istifadə edir. Əgər tətbiqetmə bu giriş məlumatlarını düzgün təmizləməzsə və ya doğrulama etməzsə, hücumçu öz zərərli SQL sorğularını əlavə edə bilər. Məsələn, istifadəçi adı sahəsinə ' OR '1'='1 kimi bir giriş daxil etsə, bu sorğu verilənlər bazasından bütün məlumatları əldə etməyə imkan verə bilər.
Təhlükələr
- Verilənlərin oğurlanması
- Verilənlərin dəyişdirilməsi
- Verilənlər bazasının məhv edilməsi
- Sistemin idarə edilməsinin itirilməsi
- Maliyyə itkiləri
Qorunma üsulları
- Parametrli sorğulardan istifadə
- Giriş məlumatlarının təmizlənməsi və doğrulaması
- İcazə səviyyələrinin düzgün idarə edilməsi
- Verilənlər bazasının düzenli olaraq ehtiyat nüsxələrinin yaradılması
- Tətbiqetmənin müntəzəm olaraq təhlükəsizlik yoxlamalarından keçirilməsi
İstifadə sahələri
SQL inyeksiyası əsasən informasiya texnologiyaları, xüsusilə də verilənlər bazası ilə işləyən veb tətbiqləri və proqram təminatı sahələrində istifadə olunur. Kiber təhlükəsizlik, kompüter elmi və informasiya sistemlərinin təhlükəsizliyi kimi sahələrdə geniş araşdırılır.