un hacker può utilizzare attacchi di SQL injection per tentare di ottenere l'accesso alle informazioni del database . Egli può utilizzare i campi del modulo per inserire i comandi SQL con caratteri di escape incorporati come parametro per interrogare un tavolo e farlo restituire i record che non dovrebbe avere accesso.
Prevenzione /soluzione
un programmatore di database dovrebbe vincolare ogni pezzo di input dell'utente ad un parametro che può quindi controllare e filtrare i caratteri di escape e tipi errati . Una volta che il programma controlla e formati dei dati utente , è possibile utilizzarlo per eseguire il comando SQL .
Fatto
Albert Gonzalez e altri 10 commesso il più grande caso di frodi con carta di credito nella storia degli Stati Uniti . Gonzalez è stato trovato colpevole di usare attacchi di SQL injection di penetrare le reti negozio per rubare più di 130 milioni di numeri di carte di credito , e nel mese di agosto 2009 ha dichiarato colpevole per l'accusa di furto di identità .
software © www.354353.com