O que é injeção de SQL?

Uma das maiores classes de vulnerabilidades da web é conhecida como “SQL Injection” ou SQLi. A Structured Query Language, também conhecida como SQL, é a linguagem usada para interagir com a maioria dos bancos de dados, embora várias variantes da linguagem sejam usadas dependendo da plataforma do banco de dados. Qualquer site que armazene dados do usuário, como informações de conta, ou forneça a funcionalidade de upload do usuário, como um site de hospedagem de imagens, usará um banco de dados para armazenar esses dados.

Dica: SQL geralmente é pronunciado como “ess ​​cue ell” ou “sequel”, com a primeira opção sendo mais comum no inglês britânico e a segunda mais prevalente no inglês americano. Ambas as pronúncias são geralmente entendidas no contexto de falar sobre bancos de dados.

O que é SQLi?

SQLi é uma vulnerabilidade em que os desenvolvedores da web que projetam o código que se comunica entre o servidor da web e o banco de dados não implementam proteções contra comandos SQL enviados por um usuário. O problema é que é possível escapar das instruções do banco de dados e adicionar novos argumentos ou uma instrução inteiramente nova. A instrução do banco de dados alterada ou secundária pode executar uma série de ações, incluindo exclusões em grande escala ou vazamentos de dados.

As explorações geralmente giram em torno de fazer com que as declarações existentes sejam verdadeiras em todas as circunstâncias ou fornecer um segundo comando em lote que execute uma ação específica, como excluir ou exibir todos os dados. Por exemplo, uma instrução SQL para fazer login em um site pode verificar se o nome de usuário e a senha enviados correspondem a uma entrada no banco de dados. Para tentar obter acesso, um exploit de injeção SQL pode tentar adicionar uma cláusula “ou true”, como “ou 1 = 1”. Isso tornaria o comando nas linhas de “login com [este] nome de usuário, se a senha for [este] ou esta declaração for verdadeira”.

Como prevenir SQLi

SQLi costumava ser uma forma muito comum de sites terem seu banco de dados violado e, em seguida, vazado online. Devido a um esforço concentrado para garantir que a conscientização sobre a segurança faça parte do treinamento do desenvolvedor, essa classe de vulnerabilidade foi amplamente resolvida e raramente é vista mais.

O método correto para evitar o SQLi é usar instruções preparadas, também conhecidas como consultas parametrizadas. Tradicionalmente, as instruções SQL são declaradas e têm a entrada do usuário concatenada nelas durante essa declaração. Com as instruções preparadas, o comando do banco de dados é escrito e, em seguida, uma função separada executa o comando e insere os dados do usuário. Embora possa parecer uma pequena diferença, ele muda completamente a forma como o comando é tratado. A diferença impede que qualquer comando SQL significativo seja executado e trata todas as entradas do usuário como uma string, evitando que a injeção de SQL aconteça.



Leave a Comment

Como Remover Informações Salvas do Autofill do Firefox

Como Remover Informações Salvas do Autofill do Firefox

Remova informações salvas do Autofill do Firefox seguindo estes passos rápidos e simples para dispositivos Windows e Android.

Como Fazer Soft e Hard Reset no iPod Shuffle

Como Fazer Soft e Hard Reset no iPod Shuffle

Neste tutorial, mostramos como executar um soft reset ou hard reset no Apple iPod Shuffle.

Como Gerenciar suas Assinaturas do Google Play no Android

Como Gerenciar suas Assinaturas do Google Play no Android

Existem muitos aplicativos incríveis no Google Play que você não pode deixar de assinar. Após um tempo, essa lista cresce e você precisará gerenciar suas assinaturas do Google Play.

Como Usar o Samsung Pay Com o Galaxy Z Fold 5

Como Usar o Samsung Pay Com o Galaxy Z Fold 5

Procurar aquele cartão na carteira pode ser um verdadeiro incômodo. Nos últimos anos, várias empresas têm desenvolvido e lançado soluções de pagamento sem contato.

Como Excluir o Histórico de Downloads do Android

Como Excluir o Histórico de Downloads do Android

Ao excluir o histórico de downloads do Android, você ajuda a liberar espaço de armazenamento e outros benefícios. Aqui estão os passos a seguir.

Como Excluir Fotos e Vídeos do Facebook

Como Excluir Fotos e Vídeos do Facebook

Este guia mostrará como excluir fotos e vídeos do Facebook usando um PC, Android ou dispositivo iOS.

Como Reiniciar o Galaxy Tab S9

Como Reiniciar o Galaxy Tab S9

Nós passamos um pouco de tempo com o Galaxy Tab S9 Ultra, que é o tablet perfeito para emparelhar com seu PC Windows ou o Galaxy S23.

Como Silenciar Mensagens de Texto em Grupo no Android 11

Como Silenciar Mensagens de Texto em Grupo no Android 11

Silencie mensagens de texto em grupo no Android 11 para manter as notificações sob controle no aplicativo de Mensagens, WhatsApp e Telegram.

Firefox: Limpar o Histórico de URLs da Barra de Endereços

Firefox: Limpar o Histórico de URLs da Barra de Endereços

Aprenda a limpar o histórico de URLs da barra de endereços no Firefox e mantenha suas sessões privadas seguindo estes passos simples e rápidos.

Como Identificar e Denunciar Golpistas no Facebook

Como Identificar e Denunciar Golpistas no Facebook

Para denunciar um golpista no Facebook, clique em Mais opções e selecione Encontrar suporte ou denunciar perfil. Em seguida, preencha o formulário de denúncia.