حقن قاعدة البيانات

حقن إس كيو إل (بالإنجليزية: SQL INJECTION)، أو حقن تعليمات الاستعلام البنيوية (SQL) بإضافات. الهدف هو استغلال أي ثغرة أمنية موجودة بطبقة قاعدة البيانات التابعة لأي برنامج (DATABASE LAYER). هذه الثغرات ممكن أن تكون حاضرة عندما لا يتم تصفية مدخلات المستخدم لبعض الحروف والرموز الخاصة (ESCAPE CHARACTERS) المضمنة داخل جمل لغة الاستعلام البنيوية، أو ان لا يتم مراجعة نوعية المدخلات ان كانت نصية ام عددية (STRONGLY TYPED) مما يسبب عدم التكهن بنتيجة تنفيذها.

أنواع ثغرات اختراق لغة الاستعلام البنيوية

عدم تصفية الرموز الخاصة بشكل صحيح

هذا النوع من أختراق لغة الاستعلام البنيوية يحصل عندما لا يتم تصفية مدخلات المستخدم من الرموز الخاصة (ESCAPE CHARACTERS) التي يتم أدراجها داخل جمل بصيغة لغة الاستعلام البنيوية والتي يمكن ان تؤدي للتلاعب بهذه الجمل المدخلة لقاعدة البيانات من قبل مستخدمي البرنامج.

معالجة نوع الحقل الخاطئة

هذا الشكل من الاختراق يحصل عندما لا يتم التأكد من نوع الحقل المدخل من قبل المستخدم. يمكن لهذا الاختراق ان يحصل مثلا عند استخدام حقل من نوع عددي (NUMERIC) في جملة الاستعلام, ولكن المبرمج لم يقم بمراقبة مدخلات المستخدم لمعرفة أذا كانت من نوع عددي ام لا.

ثغرات داخل خادم قاعدة البيانات نفسه

من الممكن ان تظهر الثغرات أحيانا داخل برنامج خادم قاعدة البيانات نفسه (VALNERABILITIES INSIDE THE DATABASE SERVER).

حماية البرامج من أختراق لغة الاستعلام البنيوية

معالجة البرامج وتحصينها.

من السهل الحماية من أختراق لغة الاستعلام البنيوية في معظم لغات البرمجة التي تستهدف تطبيقات شبكة الأنترنت.

معالجة قواعد البيانات وتحصينها (DATABASE REMEDATION).

الأمتيازات الأمنية (SECURITY PRIVILEGES).

ان وضع امتيازات أمنية على قواعد البيانات هو أبسط مثال لحماية قواعد البيانات, وبالتالي القليل من التطبيقات تسمح للمستخدم ان يمحي جدول أو قاعدة بيانات كاملة. هذه الاستراتيجية لا تحل مشكلة أختراق لغة الاستعلام البنيوية، ولكنها تخفف من شدة الضرر المحتمل.

الإجراءات المخزنة.

الحماية من أختراق الجمل المتعددة (PREVENTING MULTI-STATEMENT ATTACK).

عدم تفعيل الجمل النصية.

المصدر بتصرف