დიახ, მომზადებული განცხადებების გამოყენება აჩერებს ყველა SQL ინექციას, ყოველ შემთხვევაში თეორიულად. პრაქტიკაში, პარამეტრიზებული განცხადებები შეიძლება არ იყოს რეალური მომზადებული განცხადებები, მაგ. PDO PHP-ში ასახავს მათ ნაგულისხმევად, ასე რომ, ის ღიაა edge case შეტევისთვის. თუ იყენებთ რეალურ მომზადებულ განცხადებებს, ყველაფერი უსაფრთხოა.
რატომ უშლის პარამეტრიზებული მოთხოვნები SQL ინექციას?
პარამეტრიზებული მოთხოვნები არგუმენტების სწორად ჩანაცვლებას SQL მოთხოვნის გაშვებამდე. ის სრულად აშორებს "ბინძური" შეყვანის შესაძლებლობას, შეცვალოს თქვენი მოთხოვნის მნიშვნელობა. ანუ, თუ შეყვანა შეიცავს SQL-ს, ის ვერ გახდება შესრულებულის ნაწილი, რადგან SQL არასოდეს არ არის შეყვანილი მიღებულ განცხადებაში.
პარამეტრიზებული SQL უსაფრთხოა?
პარამეტრიზებული განცხადებები დარწმუნებს, რომ SQL განცხადებებში გადაცემული პარამეტრები (ანუ შენატანები) უსაფრთხოდ განიხილება. მაგალითად, SQL მოთხოვნის გაშვების უსაფრთხო გზა JDBC-ში პარამეტრიზებული განცხადების გამოყენებით იქნება: … executeQuery(sql, email); ხოლო (შედეგები.
რა არის პარამეტრიზებული მოთხოვნა SQL ინექციაში?
პარამეტრიზებული მოთხოვნები აიძულებს დეველოპერს ჯერ განსაზღვროს ყველა SQL კოდი და შემდეგ თითოეულ პარამეტრს გადასცეს მოთხოვნაზე მოგვიანებით. კოდირების ეს სტილი საშუალებას აძლევს მონაცემთა ბაზას განასხვავოს კოდი და მონაცემი, მიუხედავად იმისა, თუ რა შეყვანილია მომხმარებლის მიერ.
როგორ ამსუბუქებს პარამეტრიზებული განცხადებაSQL ინექციის შეტევა?
პარამეტრიზებული მოთხოვნები ეს მეთოდი საშუალებას აძლევს მონაცემთა ბაზას ამოიცნოს კოდი და განასხვავოს იგი შეყვანის მონაცემებისგან. მომხმარებლის შეყვანის ციტირება ხდება ავტომატურად და მიწოდებული შენატანი არ გამოიწვევს განზრახვის ცვლილებას, ამიტომ კოდირების ეს სტილი ხელს უწყობს SQL ინექციის შეტევის შერბილებას.
