سال انتشار: ۱۳۹۱

محل انتشار: همایش منطقه ای علوم کامپیوتر، مهندسی کامپیورتر و فناوری اطلاعات

تعداد صفحات: ۸

نویسنده(ها):

محمد رضا عزیزی پناه – دانشجوی کارشناسی ارشد نرم‌افزار – دانشگاه پیام نور واحد ری
علی برومندنیا – استادیار گروه آموزش کامپیوتر دانشگاه آزاد اسلامی واحد تهران جنوب

چکیده:

حمله تزریق SQL از جمله مباحث مطرح در امنیت اطلاعات موجود در پایگاه داده به شمار می‌آید. برنامه‌های کاربردی (به خصوص برنامه‌های تحقیق) که با پایگاه داده و کاربران تعامل دارند در صورتی که مقادیر ورودی دریافت شده از کاربران را بازرسی نکنند یا حداقل از یک تکنیک محافظت مطمئن استفاده نکنند قربانی این نوع حملات که از طرف نفوذ کلام صورت می‌گیرد خواهد شد تلفن به این صورت که مقادیر ورودی نفوذ گرد باعث می‌شود که پرس و جویی در مرحله پلی، ساختاری متفاوت با ساختار اولیه و مدنظر برنامه نویس داشته باشد از این طریق اطلاعات محرمانه پایگاه داده دست یابد. در این مقاله ضمن دسته بندی انواع حملات تزریق SQL بخصوص نوع کدگذاری چند بایتی که متأسفانه در منابع زیاد مورد توجه قرار نگرفته به تشریح تکنیک‌هایی می‌پردازیم که در سال‌های اخیر برای جلوگیری از این حملات معرفی شده‌اند. سپس به طور جداگانه به تشریح روش مطمئن پارامتر گذاری پرس‌وجو (یا گزاره‌های عام و ده) می‌پردازیم که در فاکتور مهم تضمین امنیت در برابر تمام انواع حملات تزریق SQL و امکان تبدیل پویای ساختار پرس‌وجو را با هم دارد در حالی که سایر تاکتیک‌های شرح داده شده فاقد یکی از این دو امکان حیاتی هستند .