Analiza statycznych metod obrony przed atakami SQL Injection

W artykule zaprezentowano analizę podatności systemów bazodanowych na ataki typu SQL Injection. Praca rozpoczyna się od przedstawienia charakterystyki analizowanego ataku w kontekście baz danych. Bazy danych, pomimo kluczowego znaczenia w infrastrukturze wszelakich systemów odznaczają się niedostatecznym poziomom zabezpieczeń, co w konsekwencji może prowadzić do poważnych strat. Podstawowym zagrożeniem są ataki SQL Injection, na które obecnie nie występują zewnętrzne mechanizmy obrony. W tym celu zostało zaproponowane rozwiązanie zabezpieczające systemy bazodanowe polegające na odpowiednim przygotowaniu kodu, który obsługuje dynamiczne zapytania do bazy danych. Testy wykazały dużą skuteczność zabezpieczeń przed aktualnie znanymi atakami SQL Injection. Artykuł adresowany jest do administratorów baz danych w szczególności na potrzeby usług webowych.

---

The article presents an analysis of SQL Injection vulnerabilities. The work begins with the presentation of the characteristics of the attack analyzed in the context of database. Databases, despite the key role in the infrastructure of many kinds of systems are characterized by insufficient level of security, which in turn can lead to serious loses. The main threat are SQL Injection attacks, which currently does not have external defense mechanisms. For this purpose, there is a solution to increase the security of database systems, involving the proper preparation of the code that supports dynamic database queries. Tests have shown high effectiveness of protection against currently known SQL Injection attacks. Article is aimed at database administrators in particular for Web services.