دسته: sql-server

چیزهای زیادی وجود دارد که وب سایت شما را به تزریق SQL آسیب پذیر می کند و راه های متعددی برای جلوگیری از تزریق هکرها وجود دارد.
من می خواهم به نوشتن درباره ی راه هایی که می دانم بگویم و می خواهم ایده ی خود را در مورد تجربه و دانش شما در مورد این موضوع خاص بگویم "

1. به روز رسانی و پچ : آسیب پذیری در برنامه ها و پایگاه های داده باعث می شود هکرها می توانند با استفاده از تزریق SQL شما به طور مرتب به روز رسانی و پچ شوند، بنابراین بسیار مهم است تا تکه ها و به روز رسانی ها را در اسرع وقت به کار ببرید. مهم نیست که از پلت فرم لینوکس یا ویندوز استفاده کنید، راه حل های مدیریت پچ برای این دو WSUS برای ویندوز و شما می توانید با ساخت مخزن امن و راه اندازی آن توسط "نمک" یا "عروسک" یا "غیر ممکن" راه اندازی کنید و یا این لینک را بخوانید [centralised patch management for Linux][1][1]: https://serverfault.com/questions/387986/how-do- فایروال : فایروال وب برنامه (WAF) به عنوان یک نرم افزار یا دستگاه مبتنی بر دستگاه می تواند به شما در ترافیک وب مخرب کمک کند بسیاری از آنها به عنوان قاعده ای هستند که شما نیاز دارید تا ترافیک ناخواسته را فیلتر کنید. WAF می تواند بسیار مفید باشد قبل از اینکه یک پچ در دسترس باشد، یک حفاظت امنیتی را در برابر یک آسیب پذیری جدید ارائه می دهد.
به عنوان مثال "ModSecurity" یک ماژول منبع باز است که برای Apache، nginx و امنیت وب مایکروسافت IIS در دسترس است. مجموعه ای از قوانین پیچیده و در حال تکامل کامل را برای فیلتر کردن درخواست های بالقوه خطرناک وب فراهم می کند.

3 **. از SQL دینامیک استفاده نکنید **: پرس و جو ها را با ورودی کاربر ایجاد نکنید. حتی داده های sanitization داده ها می تواند ناقص باشد، به طوری که از هر زمان ممکن استفاده از اظهارات آماده شده، نمایش داده شده پارامتری یا روش های ذخیره شده استفاده شود. اما فراموش نکنید که در حالی که روش های ذخیره شده به برخی از انواع حملات تزریق SQL متوقف می شوند، آنها در برابر بسیاری دیگر محافظت نمی کنند، بنابراین به طور انحصاری بر استفاده از آنها برای امنیت خود تکیه ندارند.

4. : سعی کنید رمزهای عبور و یا هشدار داده ها و اطلاعات محرمانه از جمله رشته اتصال

5. ACL : هرگز از دسترسی مدیر یا ریشه استفاده نکنید، مگر اینکه شما نیاز دارید و لازم است. کد پشت صفحه ورود باید پایگاه داده را با استفاده از یک حساب محدود شده فقط به جدول اعتبار مربوطه پرس و جو کند. به این ترتیب، نقص در این کانال نمیتواند برای به خطر انداختن کل پایگاه اطلاعاتی مورد استفاده قرار گیرد.

این سؤال این است که شرکتهای زیادی وجود دارند که به شدت ایمن هستند و
  تمام مواردی که من اشاره کردم و بسیاری از تجهیزات امنیتی را به خوبی استفاده کرده ام
  پیکربندی شده است، اما همیشه نقص امنیتی وجود دارد، تا چه حد می گذرد؟