SQL Injection Difesa

Difendersi da attacchi SQL Injection

Uno dei fattori chiave che determinano la vulnerabilità di un sistema agli attacchi sql injection è la qualità del codice in esecuzione nel sistema. La presenza di bug può fare ben altro che semplicemente causare la generazione di eccezioni. E' molto semplice evitare attacchi sql Injection occorre infatti solo un po' di attenzione da parte dello sviluppatore in tutte le implementazioni di codice che acquisiscono dati dall'esterno quei dati che possono essere manipolati dagli utenti.

Praticamente occorre filtrare prima di passare i dati al database i caratteri

; -- + ' ( ) = > < @

Per una maggiore protezione è opportuno filtrare anche alcune parole riservate di sql

SELECT, INSERT, CREATE, DELETE, FROM, WHERE, OR, AND, LIKE, EXEC, SP_, XP_, SQL, ROWSET, OPEN, BEGIN, END, DECLARE

Oltre a questa ovvia protezione, occorre:

tenere sempre aggiornato il proprio DBMS
tenersi sempre informati sulle nuove tecniche per essere preparati ad affrontare tutti i nuovi attacchi,
configurare il proprio sistema dando i giusti privilegi

Trovare siti vulnerabili ad SQL Injection è molto semplice, ma non illustrerò la procedura, perché questi articoli non sono stati scritti per attaccare i siti questo non è un manuale del giovane hackers, ma sono stati scritti per aiutare chiunque si trovi ad implementare applicazioni che fanno uso di database e renderle sicure da questa tipologia di attacco.

di Nazzareno Schettino, lunedì 31 ottobre 2005