SQL Injection nədir?

SQL Injection (SQL inyeksiyası) — bu, veb tətbiqlərinin məlumat bazalarına zərərli SQL kodlarının daxil edilməsi ilə həyata keçirilən bir hücum növüdür. Hakerlər, istifadəçi giriş sahələrinə xüsusi hazırlanmış SQL ifadələri daxil edərək, məlumat bazasına yetkisiz şəkildə daxil ola, məlumatları dəyişdirə və ya silə bilərlər.

SQL Injection necə işləyir?

Veb tətbiqlərində istifadəçi giriş sahələri (məsələn, istifadəçi adı və şifrə) vasitəsilə daxil edilən məlumatlar birbaşa SQL sorğularına daxil edilirsə və bu məlumatlar düzgün yoxlanmırsa, hakerlər bu sahələrə zərərli SQL kodları daxil edə bilərlər. Məsələn:

' OR '1'='1

Bu ifadə, SQL sorğusunun şərt hissəsini həmişə doğruya çevirir, beləliklə hakerlər sistemə giriş əldə edə bilərlər.

SQL Injection növləri

SQL Injection hücumları müxtəlif formalarda həyata keçirilə bilər. Ən çox rast gəlinən növlər aşağıdakılardır:

• 1. Error-Based SQL Injection: Hakerlər, tətbiqin qaytardığı səhv mesajlarından istifadə edərək məlumat bazası haqqında məlumat əldə edirlər.
• 2. Union-Based SQL Injection: UNION SQL operatorundan istifadə edərək, hakerlər bir neçə sorğunu birləşdirə və əlavə məlumatlar əldə edə bilərlər.
• 3. Blind SQL Injection: Tətbiq səhv mesajları qaytarmadıqda, hakerlər tətbiqin davranışına əsaslanaraq məlumat əldə etməyə çalışırlar.
• 4. Time-Based Blind SQL Injection: Hakerlər, SQL sorğularına gecikmələr əlavə edərək, tətbiqin cavab vaxtına əsaslanaraq məlumat əldə edirlər.
• 5. Out-of-Band SQL Injection: Tətbiq cavabları birbaşa qaytarmadıqda, hakerlər alternativ kanallar vasitəsilə məlumat əldə etməyə çalışırlar.

SQL Injection-dan necə qorunmaq olar?

SQL Injection hücumlarından qorunmaq üçün aşağıdakı tədbirləri görmək vacibdir:

• 1. Giriş Məlumatlarının Doğrulanması: İstifadəçilərdən gələn bütün məlumatları yoxlayın və yalnız gözlənilən formatda olan məlumatları qəbul edin.
• 2. Hazır Sorğulardan İstifadə: SQL sorğularını dinamik olaraq yaratmaq əvəzinə, əvvəlcədən hazırlanmış (prepared statements) və parametrli sorğulardan istifadə edin.
• 3. ORM Kitabxanalarından İstifadə: Məlumat bazası əməliyyatları üçün ORM (Object-Relational Mapping) kitabxanalarından istifadə edin. Bu, SQL sorğularının avtomatik olaraq təhlükəsiz şəkildə yaradılmasını təmin edir.
• 4. Əlavə Təhlükəsizlik Tədbirləri: Veb tətbiqinizdə veb tətbiq firewall (WAF) istifadə edin və sisteminizin təhlükəsizlik yeniləmələrini mütəmadi olaraq tətbiq edin.