Внедрение SQL - брешь в безопасности Oracle

Короткая заметка о внедренном SQL-коде (SQL injection), точнее о его вреде. Внедрение SQL — это брешь в системе безопасности Oracle, которая возникает, когда разработчик принимает данные, введенные конечным пользователем, объединяет их с запросом, затем компилирует и выполняет получившийся запрос. На самом деле разработчик принимает от конечного пользователя фрагменты SQL-кода, компилирует их и выполняет.

Такой прием потенциально позволяет конечному пользователю модифицировать SQL-операторы так, чтобы он делал то, что разработчик оператора не намеревался. Это очень похоже на ситуацию, когда оставляют терминал с открытым сеансом SQL*Plus, который был подключен с привилегиями пользователя SYSDBA. Тем самым вы приглашаете кого угодно сесть и ввести любую команду, скомпилировать ее и затем выполнить. Последствия могут оказаться катастрофическими.

 

Вас заинтересует / Intresting for you:

Требования к безопасности и ау...
Требования к безопасности и ау... 2901 просмотров Дэйзи ак-Макарова Tue, 21 Nov 2017, 13:28:01
Аудит Oracle: безопасность баз...
Аудит Oracle: безопасность баз... 13426 просмотров Александров Попков Tue, 21 Nov 2017, 13:18:05
Безопасность Oracle: шифровани...
Безопасность Oracle: шифровани... 7362 просмотров Stas Belkov Tue, 21 Nov 2017, 13:18:05
Рекомендации по безопасности б...
Рекомендации по безопасности б... 10297 просмотров Александров Попков Sun, 11 Aug 2019, 12:31:16
Войдите чтобы комментировать