Paanga o te Injection SQL
Ko te werohanga SQL (SQLi) ka taea e te kaitukino te whakararu i nga patai ka mahia e tetahi tono ki tana putunga korero [S1]. Ko te paanga tuatahi ko te uru kore mana ki nga raraunga tairongo penei i nga kupuhipa kaiwhakamahi, nga taipitopito kaari nama, me nga korero whaiaro [S1].
I tua atu i te tahae raraunga, he maha nga wa ka taea e te hunga whakaeke te whakarereke, te muku ranei i nga rekoata papaaarangi, ka mau tonu nga huringa o te whanonga tono, te ngaronga raraunga ranei [S1]. I roto i nga keehi tino kaha, ka taea te whakanui ake i te SQLi ki te whakararu i nga hanganga o muri, ka taea te whakaeke i te aukati-o-ratonga, te whakarato i te kuaha mau tonu ki roto i nga punaha o te whakahaere [S1][S2].
Putake Putake: Kore Haumaru te Whakahaere Whakauru
Ko te take o te werohanga SQL ko te whakakore tika i nga waahanga motuhake i whakamahia i roto i te whakahau SQL [S2]. Ka puta tenei ina hanga ana e tetahi tono nga patai SQL ma te whakakotahi i te urunga whakaawe-waho ki te aho uinga [S1][S2].
Na te mea kaore i te tika te wehe i te whakaurunga mai i te hanganga patai, ka taea e te kaiwhakamaori papaa raraunga te mahi i nga waahanga o te whakaurunga kaiwhakamahi hei waehere SQL, kaua ki te waiho hei raraunga tuuturu [S2]. Ka kitea tenei whakaraeraetanga ki nga wahanga maha o te patai, tae atu ki nga korero SELECT, nga uara INSERT, nga korero UPDATE ranei [S1].
Whakatika Raima me te Whakaiti
Whakamahia nga Uiui Tawhā
Ko te huarahi tino whai hua ki te aukati i te werohanga SQL ko te whakamahi i nga patai taapiri, e mohiotia ana ko nga korero kua whakaritea [S1]. Engari ki te whakakotahi i nga aho, me whakamahi nga kaiwhakawhanake i nga tikanga hanga hei whakakaha i te wehenga o nga raraunga me te waehere [S2].
Te Tikanga o te Whakaaetanga Iti
Me hono nga tono ki te papaaarangi ma te whakamahi i nga mana iti rawa e hiahiatia ana mo a raatau mahi [S2]. Ko te kaute tono paetukutuku kia kaua e whai mana whakahaere, me whakawhäitihia ki nga ripanga motuhake me nga mahi e tika ana mo tana mahi [S2].
Whakamana Whakauru me te Whakawaehere
Ahakoa ehara i te whakakapinga mo te tawhā, ko te whakamana whakaurunga ka whakarato i te whakamarumaru-hohonu [S2]. Me whakamahi nga tono i tetahi rautaki e mohiotia ana-pai, e whakamana ana ka rite te urunga ki nga momo e tumanakohia ana, te roa, me nga whakatakotoranga [S2].
Me pehea te whakamatautau a FixVibe
Ko te FixVibe kua hipokina te werohanga SQL na roto i te waahanga matawai active.sqli. Ko nga karapa hohe ka mahi i muri i te manatokonga mana rohe me te whakamanatanga. Ka ngoki te haki i nga pito mutunga GET-taketake ake me nga tawhā uiui, ka whakatuu i te whakautu turanga, ka rapu i nga kohikohiko boolean motuhake-SQL, ka ripoata noa i te kitenga i muri i te whakapumautanga o te waa puta noa i nga roa whakaroa. Ka awhina ano nga karapa putunga ki te hopu i te take o mua ma te code.web-app-risk-checklist-backfill, e tohu ana i nga waea SQL mata kua hangaia me te whakauru tauira.