مشاهدة البلوقز   المحررين  سجل كمحرر  دخول المحررين  تسجيل الخروج()  أضف مقالة  مقالاتي
الرئيسيةالمراسلةالقائمة البريديةالإشتراكخريطة الموقع
Search     بحث متقدم
 »  الرئيسية  »  أمن المعلومات  »  الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب
الـ SQL Injection ، سلاح الدمار الشامل ضد تطبيقات الويب
بواسطة Binary Tree | نُشِر  05/11/2005 | أمن المعلومات | تقييم:
ما هي الحلول ؟
بعد أن وضحنا المخاطر الفعلية وراء هذه النوعية من الهجمات ، إسمح لي عزيزي القارئ أن أطرح بعض الحلول و الوسائل لصد هذا النوع من الهجمات ، في ما يلي سأستعرض هذه الحلول على شكل نقاط :

1- لا تقم بعرض رسائل خطأ تفصيلية في نظامك ، بعض المبرمجين للاسف يقوم بعرض رسائل خطأ تبين أين كانت المشكلة في الإستعلام ، في أي سطر ، و في أي جدول من قواعد البيانات ، هذه التفاصيل تعتبر تفاصيل ثمينة جدا للمخترقين ، حيث سيتمكنون من خلالها تكوين صورة كاملة عن بنية قاعدة البيانات الخاصة بنظامك و معرفة التركيب الفعلي لأوامر الإستعلامات حتى و إن لم يروا الشيفرة المصدرية !!


2- تحقق من كافة المدخلات التي يدخلها المستخدم ، على سبيل المثال ، اذا كان من المفترض أن يدخل المستخدم في هذا الحقل رقما ، فلا تسمح له بتاتا بإدخال أي شيئ عدا الأرقام ، أو إن كان هذا الحقل مخصص لعناوين البريد الإلكتروني ، فلا تسمح بكتابة شيء غير البريد الإلكتروني عن طريق التحقق بواسطة الـ Regular Expressions ، أيضا اللغات الحديثة للتطوير توفر مجموعة من الدوال تخلص المدخلات من الشوائب الغير نظامية في الإدخال ، فعلى سبيل المثال ، في نظام قواعد البيانات MySQL يمكن إستخدام الدالة التالية :


safeEscapeString($parameter)


حيث ستزيل هذه الدالة اي أوامر SQL تكتب في المتغيرات الممرة للنظام


3- عطل خاصية الإستعلامات المتداخلة Nested Queries في نظام قواعد البيانات الذي تستخدمه


في الختام ، أتمنى أن أكون قد وفقت في عرض معلومات مفيدة عن واحدة من أخطر أنواع الهجمات على تطبيقات الويب

تحياتي
كيف تقيم هذه المقالة ؟
1 2 3 4 5
سيئ ممتاز
أخبرنا عن سبب تقيمك بهذه الطريقة ( إختياري )

إرسال للمحرر إضافة في الموقع
صفحات: « الخلف 1 2 3 التالي » 
مقالات ذات صلة
عناوين ذات صلة
تعليق
  • تعليق #1 (إضيف من قبل mustafa)
    تقييم
    في البداية مشكور على هذا المقال الجيد ... عندي استفسار بخصوص الحلول إلي ذكرتها وهي بالتحديد ----------- 3- عطل خاصية الإستعلامات المتداخلة Nested Queries في نظام قواعد البيانات الذي تستخدمه ----------- لو ممكن توضح اكثر شو تقصد بالـNested Queries وكيف يتم تعطيلها وفوائدها بالاساس ، لانه لو مالها داعي أو لا تشكل مشكلة في نظام قواعد البيانات في بالتالي ممكن نتغني عنه واسف على الاطالة واشكرك مره اخرى
     
  • تعليق #2 (إضيف من قبل Binary Tree)
    تقييم
    شكرا جزيلا لمشاركتك أخي العزيز ، فيما يخص الـ Nested Queries فيقصد بها أمر UNION في إستعلام الـ SQL ، الذي يقوم بتنفيذ أمري SQL في إستعلام واحد ، فيما يخص طريقة التعطيل فهذا راجع الى كل نظام قاعدة بيانات ، من تجربتي في الـ MySQL ، هذه الخاصية تكون معطلة إفتراضيا ، ولا يمكن تمرير إستعلامين منفصلين دفعة واحدة كإستعلام واحد ، اما في بقية أنظمة قواعد البيانات مثل MSSQL SERVER و ORACLE فليس لدي علم لأني لم أجرب التطبيق عليها . تحياتي
     
  • تعليق #3 (إضيف من قبل مستخدم غير معروف)
    تقييم

     
  • تعليق #4 (إضيف من قبل مستخدم غير معروف)
    تقييم
    Barakallahou feeka ya akhee wa jazaakaa kolla khayren
     
  • تعليق #5 (إضيف من قبل مستخدم غير معروف)
    تقييم

     
  • تعليق #6 (إضيف من قبل ة ا ة)
    تقييم
    جزاك الله الفردوس الاعلى
     
  • تعليق #7 (إضيف من قبل مستخدم غير معروف)
    تقييم

     
  • تعليق #8 (إضيف من قبل مستخدم غير معروف)
    تقييم
    مشكور
     
  • تعليق #9 (إضيف من قبل مستخدم غير معروف)
    تقييم

     
  • تعليق #10 (إضيف من قبل مستخدم غير معروف)
    تقييم
    بارك الله بك وبعلمك وقريباً إن شاء الله سوف أضع مقالات علمية في هذا الموقع المميز
     
  • تعليق #11 (إضيف من قبل mohamad)
    تقييم
    سلام
     
  • تعليق #12 (إضيف من قبل مستخدم غير معروف)
    تقييم

     
  • تعليق #13 (إضيف من قبل مستخدم غير معروف)
    تقييم

     
  • تعليق #14 (إضيف من قبل Tariq Shadid)
    تقييم
    hello there this example is very bad coz it is impossible to happen in php and mysql coz when u enter (') to input text the php add slash like '
     
  • تعليق #15 (إضيف من قبل sam)
    تقييم
    مقال رائع جزاك الله خير
     
  • تعليق #16 (إضيف من قبل مستخدم غير معروف)
    تقييم
    مشكور
     
أضف تعليق
Binary Tree
مبرمج و مطور للويب ، متخصص في لغة الـ PHP و نظام قواعد البيانات MySQL ، يعمل على منصات التطوير من شركة صن مايكروسيسمتز مثل J2EE و J2SE و ذو خبرة كبيرة في مجال المعايير القياسية لتصميم مواقع الويب 

مشاهدة كافة مقالات Binary Tree
خيارات المقالة
مقالات مشهورة
محررين مشهورين
  1. Binary Tree
  2. SOAP Me
  3. The Byte
  4. هاني الزيد
  5. عبدالرحمن محمد

لم يتم العثور على محررين مشهورين
مواقع صديقة
إعلانات نصية
Copyright 2008 قـاعة الـمطوريـن<::> DevHall .Com . All rights reserved.
قاعة المطورين تستخدم نظام الناشر الإلكتروني الذكي - تصميم و تطوير الحلول الذكية

ترتيب وإحصائيات المواقع في رتب