SQL INJECTION: O QUE É, E COMO PROTEGER SEU BANCO DE DADOS.
Knights of Templar Order
RESUMO
Os bancos de dados, especialmente os que são acessados via web, vem sofrendo muitos ataques de SQL Injection, uma técnica que manipula códigos SQL. Tendo em vista este fator negativo e o crescimento significativo desses ataques, foi feito um estudo para discernir, este possível problema que vem ameaçando cada vez mais os bancos de dados. Foi proposto informar uma análise das possíveis entradas maliciosas de código SQL, mostrando de forma clara e objetiva como os usuários tem acesso irrestrito a um sistema que utiliza BD e com isso demonstrar as restrições que poderão ser feitas no BD por um administrador ou na aplicação pelo programador, para evitar estes acessos indesejáveis aos seus sistemas.
Palavras chaves: Banco de Dados, Segurança.
LISTA DE FIGURAS
Fig1
Representação simplificada de um sistema de banco de dados
10
Fig2 Código para validação da senha e usuário
17
Fig3
Valor informado na tela de login
17
Fig4 Consulta SQL Após Inserção de comandos no formulário
17
Fig5 Valor informado na tela de login
18
Fig6 Consulta SQL Após Inserção de comandos no formulário
18
Fig7 Valor informado na tela de login
18
Fig8 Consulta SQL Após Inserção de comandos no formulário
18
Fig9 Código de consulta SQL
19
Fig10 Passagem de valores pelo método GET no navegador
20
Fig11
Erro após a inserção da apóstrofe
20
Fig12
Inserção do comando ODER BY ao fim da URL
20
Fig13
Comando ORDER BY encontrando 4 colunas
21
Fig14
Comando ORDER BY retornando o erro da 5 coluna não encontrada
21
Fig15
Comando UNION retornando o erro com nome do Banco de Dados
22
Fig16
Demonstração da Função
24
SUMÁRIO
INTRODUÇÃO
09
1
BANCO DE DADOS
10
1.1
CONCEITO E CARACTERÍSTICAS
10
1.2