Sql injection

Disponível somente no TrabalhosFeitos
  • Páginas : 6 (1421 palavras )
  • Download(s) : 0
  • Publicado : 2 de julho de 2012
Ler documento completo
Amostra do texto
Tratamento de SQL Injection com PHP

Tratamento de SQL Injection com PHP
Diego Gabriel Monção, Willian Resplandes Matias

UNIVAR- Faculdades Unidas do Vale do Araguaia
diegomaltine@hotmail.com, willianresplandes@gmail.com

Resumo. O presente artigo propõe a mostrar utilização de técnicas geralmente chamada de SQL Injection, ou seja, injeção de SQL que se aproveita de falhas em sistemasque interagem com bases de dados via SQL.

Abstract. This article aims to explain the use of techniques generally called SQL injection, ie, SQL injection that takes advantage of flaws in systems that interact with databases via SQL.

1. INTRODUÇÃO
“SQL Injection é um ataque contra o banco de dados de uma empresa via web site. Nesse ataque, os crackers executam comandos não autorizados de SQL aoaproveitar sistemas inseguros que estão conectados na internet. O SQL Injection é a segunda mais comum vulnerabilidade em aplicações web, de acordo com o Open Web Application Security Project.” (TEIXEIRA, 2009).

“PHP é o acrônimo de Hipertext Preprocesor. É uma linguagem de programação do lado do servidor gratuito e independente de plataforma, rápido, com uma grande livraria de funções e muitadocumentação” (Alvarez, 2009). “Os crackers são indivíduos que utilizam seu conhecimento para invadir computadores e roubar informações confidenciais. Geralmente essas informações são vendidas ou utilizadas para aplicar golpes na Internet” (Amador, 2010).

Tratamento de SQL Injection

Página 1

Tratamento de SQL Injection com PHP

Indivíduos mal intencionados se aproveitam de falhas emsistemas que interagem com bases de dados via SQL inserindo séries de instruções dentro de uma consulta, podendo assim adquirir, modificar ou simplesmente apagar informações guardadas nos registros do banco.

2.

Metodologia

Foram desenvolvidas aplicações web utilizando a linguagem de programação PHP, para avaliações e testes de segurança, em meio ao desenvolvimento foram notadas que aaplicação necessitava de maior segurança para a proteção de SQL Injection, onde foi inserido métodos de proteção contra SQL Injection nativos da linguagem de programação PHP.

3.

Referencial Teórico

No Desenvolvimento foi utilizada a linguagem de programação PHP, para o desenvolvimento da aplicação onde seriam realizados todos os testes de segurança.
“PHP é uma linguagem de scripting comHTML-embebido. Muita da sua sintaxe é "emprestada" do C, Java e Perl com um pequeno conjunto de funcionalidades específicas. O objetivo da linguagem é permitir aos programadores web escrever rapidamente paginas gerada dinamicamente” (Teixeira, 2011).

A aplicação foi hospedada em um servidor com o Apache 2.1, e com habilitação para hospedagem de aplicações PHP.
“O apache é um servidor Webextremamente popular, usado principalmente no Linux. A dupla é bastante popular em servidores de páginas desde a popularização da Internet em 95 e segundo muitas estatísticas é a mais usada em servidores Web atualmente, superando o Windows” (Costa, 2001).

Tratamento de SQL Injection

Página 2

Tratamento de SQL Injection com PHP

4. FUNCIONAMENTO
“A Injeção de SQL, mais conhecida através do termoamericano SQL Injection, é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.” (Teixeira, 2009).

SQL (Linguagem de Consulta Estruturada) é uma linguagemdeclarativa em oposição a outras linguagens procedurais. Uma consulta SQL especifica a forma do resultado e não o caminho para chegar a ele. Exemplo: SELECT * FROM usuarios WHERE nome=’fulano’ AND sobrenome=’da silva’ Este comando irá retornar todas as informações da tabela “usuários” onde o campo “nome” contém “fulano” e o campo “sobrenome” contém “da silva”. A técnica de SQL Injection consiste...
tracking img