SQL 插入

high Web App Scanning Plugin ID 98115

語系：

概要

SQL 插入

說明

由於當今 Web 應用程式的動態內容需求，許多應用程式都依賴資料庫後端來儲存將由 Web 應用程式 (或其他程式) 呼叫和處理的資料。Web 應用程式使用結構化查詢語言 (SQL) 查詢從資料庫擷取資料。

為滿足許多開發人員的需求，資料庫伺服器 (如 MSSQL、MySQL、Oracle 等) 具有其他內建功能，可允許廣泛控制資料庫並與主機作業系統本身互動。

在 SQL 查詢中使用源自用戶端要求的值時，會發生 SQL 插入。這可允許網路攻擊者執行任意 SQL 程式碼並竊取資料，或使用資料庫伺服器的其他功能來控制更多伺服器元件。

成功惡意利用 SQL 插入對於組織而言可能是災難性的，而且是最常遭惡意利用的 Web 應用程式弱點之一。

掃描程式能夠造成伺服器以資料庫相關錯誤回應要求，因此偵測到此插入。

解決方案

在維持完整應用程式功能的同時，防止 SQL 插入攻擊的唯一方法是使用參數化查詢 (也稱為準備好的陳述式)。使用此資料庫查詢方法時，用戶端提供的任何值都將作為字串處理，而不是作為 SQL 查詢的一部分處理。
此外，利用參數化查詢時，資料庫引擎會自動檢查以確保所使用的字串符合欄位。例如，如果資料庫欄設定為包含整數，資料庫引擎將檢查使用者提供的輸入是否為整數。