HORUS FACULDADES
CURSO DE BACHAREL EM SISTEMAS DE INFORMAÇÃO

SQL INJECTION
Trabalho apresentado à disciplina de Auditoria e segurança de sistemas como parte dos requisitos analisados para se compor a nota final do semestre.

Pinhalzinho (SC), Junho/2009

sumário sumário 4
1 Introdução 5
2 SQL INJECTION 6
2.1 LÓGICA DE ACESSO 6
2.2 Identificando o erro 7
2.3 buscando e alterando dados 8
3 conclusão 12
Referências 13

1 Introdução

Nos depararmos com sites que exigem login e senha para se poder navegar em certas páginas em específico ou até mesmo para entrar no referido site é muito comum atualmente, fato este que na maioria dos casos exige um cadastro prévio principalmente se o site for pago, porém existe uma técnica chamada sql injection, que está perturbando muitos sites neste sentido, essa técnica tem por finalidade fazer o input de códigos SQL nos campos de login e de senha, com o intuito de concatenar-se com o sql programado pelo autor do site, para assim tentar forçar o acesso ao conteúdo, até então impossibilitado de visualizar. A primeira impressão que se tem ao estudar técnicas desse nível é logicamente o desespero, porém o presente trabalho irá demonstrar formas de combater esse tipo de invasão, para isso é necessário ao programador mudar um pouco sua forma de pensar quanto à lógica a ser usada dentro deste tipo de controle, caso contrário a segurança desse sistema passa a não existir.
2 SQL INJECTION

Os sites que possuem dependem de login para serem acessados são programados teoricamente para inibir o acesso de pessoas não cadastradas ao site, o programador responsável por esse trabalho obedece a uma certa lógica para evitar esse acesso.

2.1 LÓGICA DE ACESSO O programador[..] pensa em criar uma área restrita para o site, logo precisará de um login e senha para os usuários. Então é criado dentro do banco de dados (em sql ou mdb, mais comum em mdb) uma tabela chamada Users, com