Пятница, 21.07.2017, 19:35
# FreeBSD ГлавнаяРегистрацияВход
Приветствую Вас Гость | RSS
Меню сайта
Категории раздела
Мои статьи [167]
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа
 Каталог статей 
Главная » Статьи » Мои статьи

Защита БД от sql-инъекций

Наткнулся на любопытную заметку по защите от sql-инъекций при помощи nginx. Ниже привожу оригинал текста.

Итак, наверняка все знают о sql-инъекциях и все знаю как не приятно когда злоумышленник пользуется этим. Я нашёл самое простое решение избавления от sql-инъекций при помощи фильтрации запросов в nginx.

SQL-инъекции — встраивание вредоносного кода в запросы к базе данных — наиболее опасный вид атак. С использованием SQL-инъекций злоумышленник может не только получить закрытую информацию из базы данных, но и, при определенных условиях, внести туда изменения.

Все мы знаем, что для того что-бы вытащить хоть что-то из БД необходимо подобрать таблицы, а для этого как правило выполняют команду вида:

script.php?bug=-1+UNION+SELECT+1,2,3,4,5

в этом коде фигурируют команды union и select, select – одна из самых значимых команд в mysql, соответственно что-бы обезопасить себя нам необходимо блокировать все запросы от клиента с этой командой. Делается это очень легко, в виртуальном хосте nginx`a прописываем:

if ($request_uri ~* «SELECT») {
return 401;
}

и всё, если клиент попытается подставить эту команду то в ответ он получит ошибку 401. Таким же способом можно заблокировать и остальные нежелательные команды. Удачи.
Категория: Мои статьи | Добавил: Admin (08.11.2011)
Просмотров: 560 | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email *:
Код *:
Поиск
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
  • Copyright MyCorp © 2017Сделать бесплатный сайт с uCoz