IT業界資訊媒體

edvance 特約【wepro 教室 06】嘉倩 180 ─ SQL Injection

SQL Injection 係⿊客常用嘅攻擊手法。簡單來講有啲似「假傳聖旨」,攞住個「A貨兵符」橫⾏無忌 ,要乜有乜。 因為一般電腦數據都係儲存在資訊庫裡⾯,⽽進入資料庫存取資料靠的是 SQL Statement 去執行。只要條件符合,就可以進出資料庫。

畀個現實⽣活例子,如果要攞客⼾資料 ,⼀般要提供⾝份證號碼、密碼等個⼈資料。
但如果黑客可以喺 SQL Statement 動少少手腳,加⼀個永遠符合嘅條件,例如係「1=1 」嘅 condition,咁就可以攞晒所有客戶資料。

要解決 SQL Injection 嘅問題,除咗程式開發時要考慮安全因素之外,亦可以使用 web application firewall 去作出更有效嘅保障。