Primul portal
dedicat controlului riscurilor.
 Vineri, 20 octombrie 2017

Alerte de risc NOU!
Prezentare alerte de risc
Modele de alerte de risc
Resurse
Știri
Anunturi
Articole si recenzii
Legislatie specifica
Glosare
Întrebari & raspunsuri
Programe TV
Download software
Ghiduri practice
Cursuri si seminarii NOU!
Utile
Interactiv
Newsletter
Prognoze de risc
Chestionar
Prevenirea pierderilor
Pentru companii
Pentru persoane
Clasificarea riscurilor
Furnizori de solutii
Securitate fizica
Asigurari
Consultanta
Securitate IT&C
Auto si accesorii
Proprietate intelectuala
Instrumente financiare
Diverse
Bursa solutii preventive
Cereri de oferta
Promovare
Despre noi
Oferta publicitate
Sponsori
Contactati-ne

 
Cabinet avocat Bucuresti

   
  HOME    Detalii :: Glosare
Atac prin inserție SQL

Este numit și SQL Injection; desemnează o categorie de atacuri îndreptate asupra bazelor de date care oferă o interfață interactivă cu exteriorul, atacuri care exploatează deficiențe de proiectare ale interfeței respective. Denumirea este dată de numele celui mai popular limbaj utilizat în prezent pentru manipularea datelor în sistemele de gestiune a bazelor de date (SQL - Structured Query Language), atacul constând în a "convinge" sistemul să execute cod SQL pe care în mod normal nu ar trebui să aiba voie să-l execute. Scenariul clasic e acela al unei baze de date cu care utilizatorul interacționează prin intermediul unei pagini web, completând câmpuri într-un formular online și apoi așteptând din partea sistemului o serie de rezultate determinate pe baza valorilor introduse. Iată un scurt exemplu: să presupunem, pentru simplitate, că un sistem gestionează o bază de date cu produse, informațiile fiind stocate într-un tabel denumit, să spunem, tbl_prod, iar utilizatorului i se oferă un formular cu un câmp în care poate completa un preț, urmând ca sistemul să afișeze lista produselor având prețul respectiv. Daca utilizatorul introduce, să spunem, valoarea 550, sistemul ar urma să execute o interogare SQL de forma:

SELECT * FROM tbl_prod WHERE price = 550

Dacă însă utilizatorului i se permite să introducă orice în câmpul din formular, iar sistemul acceptă interogări SQL multiple, separate, să spunem prin caracterul ; (punct si virgula), atunci textul "45; DELETE * FROM tbl_prod" introdus de utilizator declanșează un răspuns de forma:

SELECT * FROM tbl_prod WHERE price = 45; DELETE * FROM tbl_prod

ceea ce are ca efect ștergerea datelor din tabelul respectiv.



Alte stiri si articole din aceeasi categorie:
Stiri
Combinatia Internet Explorer - Google Desktop Search prezinta un risc mare de securitate

Alerta de risc: atac informatic (virus) pe 3 februarie

Departamentele de securitate IT nu se ridica la un nivel corespunzator in majoritatea organizatiilor

Virusii de calculator devin tot mai numerosi si mai agresivi

Nou serviciu pentru user-ii Google: avertisment pentru site-urile periculoase

Peste 84.000 de utilizatori ai instrumentelor de plata cu acces la distanta

Se confirma ca utilizarea telefoanelor mobile nu creste riscul de cancer.

Nou studiu privind efectele telefoanelor mobile asupra sanatatii

Google a rezolvat vulnerabilitatea care aparea in combinatie cu Internet Explorer

BitDefender a lansat o solutie antivirus pentru telefoane mobile.

Articole
Starea securității IT în 2006 si prognoza pentru 2007

Analiza GECAD NET privind vulnerabilitatile informatice; Prognoze 2006

Cum sa va feriti de fraudele bancare



inapoi


recomanda acest site  |  printeaza pagina printeaza pagina
  Copyright © 2002 - 2009 Inoventis srl
  Toate drepturile rezervate.
Regulamentul de utilizare | Harta site-ului | Contact