2. Background
•Coraz więcej osób na świecie dostaje możliwość
podłączenia się do Internetu
•Przetwarzamy olbrzymie (tylko > 1 ZB w 2015)
ilości danych …
•... u 2,4 mld użytkowników (2014) ...
3. SQL Injection
Nieupoważnione wykonanie* kodu SQL na systemie
lub urządzeniu zdalnym agregującym dane.
* Mające często na celu kradzież tych danych lub zniszczenie bazy –
to już zależy od intencji atakującego!
6. Jak się bronić
•Walidacja danych po stronie klienta i serwera (!)
•Odcięcie dostępu zdalnego do serwera – tylko dostęp
lokalny
•Utworzenie użytkowników z prawami tylko do
określonych operacji na bazie danych
•Użycie procedur składowanych
7. Ciekawostki
• SQL Injection występujące w nazwie firmy: Dariusz Jakubowski x’;
DROP TABLE users; SELECT ‘1
• https://niebezpiecznik.pl/post/jego-firma-ma-w-nazwie-sql-injection-
nie-zazdroscimy-tym-ktorzy-beda-go-fakturowali/
• Błąd SQL na paragonie
• https://niebezpiecznik.pl/post/sql-injection-w-paragonie/