Primul portal
dedicat controlului riscurilor.
 Duminica, 23 aprilie 2017

Alerte de risc NOU!
Prezentare alerte de risc
Modele de alerte de risc
Resurse
Știri
Anunturi
Articole si recenzii
Legislatie specifica
Glosare
Întrebari & raspunsuri
Programe TV
Download software
Ghiduri practice
Cursuri si seminarii NOU!
Utile
Interactiv
Newsletter
Prognoze de risc
Chestionar
Prevenirea pierderilor
Pentru companii
Pentru persoane
Clasificarea riscurilor
Furnizori de solutii
Securitate fizica
Asigurari
Consultanta
Securitate IT&C
Auto si accesorii
Proprietate intelectuala
Instrumente financiare
Diverse
Bursa solutii preventive
Cereri de oferta
Promovare
Despre noi
Oferta publicitate
Sponsori
Contactati-ne

 
Cabinet avocat Bucuresti

   
  HOME    Detalii :: Glosare
Atac prin inserție SQL

Este numit și SQL Injection; desemnează o categorie de atacuri îndreptate asupra bazelor de date care oferă o interfață interactivă cu exteriorul, atacuri care exploatează deficiențe de proiectare ale interfeței respective. Denumirea este dată de numele celui mai popular limbaj utilizat în prezent pentru manipularea datelor în sistemele de gestiune a bazelor de date (SQL - Structured Query Language), atacul constând în a "convinge" sistemul să execute cod SQL pe care în mod normal nu ar trebui să aiba voie să-l execute. Scenariul clasic e acela al unei baze de date cu care utilizatorul interacționează prin intermediul unei pagini web, completând câmpuri într-un formular online și apoi așteptând din partea sistemului o serie de rezultate determinate pe baza valorilor introduse. Iată un scurt exemplu: să presupunem, pentru simplitate, că un sistem gestionează o bază de date cu produse, informațiile fiind stocate într-un tabel denumit, să spunem, tbl_prod, iar utilizatorului i se oferă un formular cu un câmp în care poate completa un preț, urmând ca sistemul să afișeze lista produselor având prețul respectiv. Daca utilizatorul introduce, să spunem, valoarea 550, sistemul ar urma să execute o interogare SQL de forma:

SELECT * FROM tbl_prod WHERE price = 550

Dacă însă utilizatorului i se permite să introducă orice în câmpul din formular, iar sistemul acceptă interogări SQL multiple, separate, să spunem prin caracterul ; (punct si virgula), atunci textul "45; DELETE * FROM tbl_prod" introdus de utilizator declanșează un răspuns de forma:

SELECT * FROM tbl_prod WHERE price = 45; DELETE * FROM tbl_prod

ceea ce are ca efect ștergerea datelor din tabelul respectiv.



Alte stiri si articole din aceeasi categorie:
Stiri
Atacurile prin phishing cresc ingrijorator.

Evitati inamicii informatici care stau ascunsi pe site-urile web!

Noi standarde adoptate în IT în anul 2005

Increderea in comertul electronic in scadere

Raiffeisen Bank reaminteste detinatorilor de carduri: nu raspundeti mesajelor electronice in care vi se cere numarul de card si codul PIN

Studiu FBI: tendinte in criminalitatea informatica in 2005

Atentionare de securitate informatică de la Raiffeisen Bank

Romania continua sa fie o sursa de fraude pe internet.

Tranzactiile cu ajutorul cardurilor vor fi mai sigure pe viitor.

Tehnologia BitDefender va fi integrată în soluțiile companiei americane ISS.

Articole
Analiza GECAD NET privind vulnerabilitatile informatice; Prognoze 2006

Cum sa va feriti de fraudele bancare

Starea securității IT în 2006 si prognoza pentru 2007



inapoi


recomanda acest site  |  printeaza pagina printeaza pagina
  Copyright © 2002 - 2009 Inoventis srl
  Toate drepturile rezervate.
Regulamentul de utilizare | Harta site-ului | Contact