SQL-инъекции | Клуб компьютерной безопасности
Ғылым және технология
Наверняка, многие из вас слышали про утечки персональных данных. Их, как правило, хранят в базах данных. Существует целый ряд атак на базы данных, одной из которых является SQL-инъекция.
Суть её очень проста - каким-либо образом необходимо заставить сервер выполнить вредоносный (полезный атакующему) запрос к БД.
Боишься, что не знаком с базами данных и не поймешь лекцию? Не беда! Начнем изучение с объяснения основ БД - что это и как работает, далее научимся писать запросы к БД и начнем исследовать методы нахождения SQL-инъекций, а потом у вас будет возможность самим найти несколько SQL-инъекций.
Telegram: t.me/dscsgu
VK: dscsgu
Github: github.com/dsc-sgu
Сайт: dsc.sgu.ru
Пікірлер: 4
Видео не смотрел. Выдало в реках. Актуальность темы сомнительная. В проде (по моему опыту, естественно) все сидят либо на полноценных ORM, либо на micro-ORM, либо хоть как-то используют параметризируемые запросы ExecuteScalar(sql, new { p1=str1, p2=str2 }). Я удивлюсь, если этого недостаточно.
@byte-worm1669
19 күн бұрын
ORM (Object-Relational Mapping) може забезпечити певний рівень захисту від SQL-ін'єкцій шляхом параметризації запитів та інших методів. Однак, важливо також ретельно перевіряти вхідні дані та виконувати інші заходи безпеки на рівні додатку для повного захисту.
@lsl0000
18 күн бұрын
Видео стоило бы посмотреть, там про это говорилось) По моему опыту SQL Injection до сих пор встречается в разных сайтах малого и среднего бизнеса написанного студентами. Да маловероятно, но такое существует. Информация давалась исключительно в образовательных целях, чтобы рассказать студентам, что такое существует и таких элементарных уязвимостей надо избегать.
@user-ip3of5vn1j
10 күн бұрын
@@lsl0000 даже если атаковать сайты пет-проекты школьников после недельного курса по питону, х.й что получится, защита встроена на уровне orm функций. Ну мооожет сработает на сайтах, написанных и заброшенных 20 лет назад, но не думаю что это принесет выгоду хакеру.