Безопасность – одна из базовых потребностей человека. Это подчеркивает огромный спрос на создание систем безопасности.

Однако, в современном мире высоких технологий злоумышленники орудуют не только в реальности, но и в виртуальности. Сегодня мы поговорим о методах защиты сайта от SQL-инъекции. Работа абсолютного большинства современных сайтов построена на базах данных. Работа с информацией, содержащейся в базах данных того или иного сайта, происходит с помощью SQL-запросов. Если внедрить в такой запрос некоторый код, не нарушив при этом структуру запроса, можно легко получить доступ к заветной информации баз данных: ее можно прочесть, удалить, изменить, добавить что-то свое. Внедрение кода в запрос и называется SQL-инъекцией.

Как же защитить свой сайт о такой напасти?

Во-первых, не стоит доверять данным, вводимым пользователям в форму при регистрации на Вашем сайте. Велика вероятность того, что в этих данных будет содержаться тот самый код SQL-инъекции. Чтобы снизить риск нарваться на злоумышленника, ограничивайте, по возможности, максимальную длину паролей и допустимых логинов.

Во-вторых, не следует раздавать права доступа к базам данных направо и налево всем желающим пользователям. Помните, чем большими правами обладает рядовой пользователь, тем большими правами будет обладать и злоумышленник, прикидывающийся рядовым пользователем.

В-третьих, не будьте предсказуемы, придумывая названия срок и столбцов в таблицах своих баз данных. Злоумышленники, желающие внедрить SQL-инъекцию, работают «наугад», подбирая наиболее вероятные названия и угадывая на основании этого структуру запросов. Однако не переусердствуйте, придумывая изощренные названия, чтобы не затруднить работу с базами данных для себя и для добропорядочных пользователей.