1. Preventieve maatregelen

* geparametriseerde query's (voorbereide verklaringen): Dit is de gouden standaard om SQLI te voorkomen. Gebruik geparametriseerde query's in uw database -interacties. Dit betekent dat gegevens worden doorgegeven als parameters, niet rechtstreeks in de SQL -string. De database -engine zal de ontsnapping en het correct ontsnappen van de gegevens omgaan.

Voorbeeld (python met sqlite):

`` `Python

SQLite3 importeren

conn =sqlite3.Connect ('myDatabase.db')

cursor =conn.cursor ()

# Onveilig

unsafe_query ="Select * van gebruikers waar gebruikersnaam ='" + gebruikersnaam + "'"

cursor.execute (unsafe_query)

# Veilig (met behulp van parameters)

SAFE_QUERY ="Selecteer * uit gebruikers waar gebruikersnaam =?"

cursor.execute (safe_query, (gebruikersnaam,)))

`` `

* invoervalidatie en sanering:

* Type validatie: Zorg ervoor dat de ontvangen gegevens overeenkomen met het verwachte gegevenstype. (bijvoorbeeld een e -mailadres mag alleen letters, cijfers en toegestane symbolen bevatten)

* Lengte -validatie: Beperk de lengte van invoervelden om bufferoverloopaanvallen te voorkomen.

* coderen en ontsnappen: Codeer speciale tekens (zoals citaten, puntkomma's, enz.) Om te voorkomen dat ze worden geïnterpreteerd als SQL -opdrachten.

* Gebruik van opgeslagen procedures: Geslagen procedures bieden een niveau van abstractie en beveiliging. Ze kunnen worden gebruikt om invoer te valideren en vragen op een gecontroleerde manier uit te voeren, waardoor het risico op SQLI wordt verminderd.

2. Extra beveiligingsmaatregelen

* database toegangscontrole: Beperk gebruikersrechten. Geef gebruikers alleen de nodige machtigingen om toegang te krijgen tot de gegevens die ze nodig hebben.

* Firewall -regels: Configureer uw firewall om verdacht verkeer en verkeer afkomstig van bekende kwaadaardige IP -adressen te blokkeren.

* databasemonitoring: Controleer database -activiteit op verdachte patronen of anomalieën. Dit kan helpen bij het detecteren van SQLI -pogingen aan de gang.

* Regelmatige beveiligingsaudits: Controleer regelmatig uw code- en databaseconfiguratie op kwetsbaarheden.

3. Belangrijke punten:

* Vertrouw niet alleen op validatie aan de clientzijde: Vertrouw nooit alleen op validatie aan de klant om te beschermen tegen SQLI. Aanvallers kunnen client-side cheques eenvoudig omzeilen.

* Houd rekening met door gebruikers gegenereerde inhoud: Invoer van formulieren, opmerkingen of gebruikersprofielen kunnen een uitstekende bron van SQLI -aanvallen zijn.

* Blijf op de hoogte: Houd uw databasesoftware, stuurprogramma's en applicatiesbibliotheken up-to-date met beveiligingspatches.

Hulp nodig met specifieke code?

Als u hulp nodig hebt bij het implementeren van deze concepten in een specifieke programmeertaal of databasesysteem, geef dan meer informatie over uw omgeving en ik kan u meer gerichte advies geven.