کتابخونه : بخوانیم و یاد بگیریم

SQL Injection یکی از حملات رایج و خطرناک در دنیای وب است که در آن مهاجم با استفاده از ورودی‌های غیرمجاز به پایگاه داده حمله می‌کند. این حملات می‌توانند منجر به افشای داده‌های حساس، دستکاری پایگاه داده، حذف یا تغییر اطلاعات، و حتی نفوذ به سیستم‌های دیگر شوند.

برای جلوگیری از SQL Injection، روش‌های مختلفی وجود دارد که در ادامه به بررسی آن‌ها خواهیم پرداخت.

1. استفاده از دستورات آماده (Prepared Statements)

یکی از موثرترین روش‌ها برای جلوگیری از SQL Injection، استفاده از دستورات آماده (Prepared Statements) یا پارامترهای جایگزین است. در این روش، ابتدا ساختار کوئری تعریف می‌شود و سپس مقادیر پارامترها به صورت ایمن به کوئری اضافه می‌شوند. این باعث می‌شود که ورودی‌های کاربر به عنوان داده شناخته شوند، نه بخشی از دستور SQL.

مثال در MySQL (با استفاده از PDO در PHP):

// اتصال به پایگاه داده

$db = new PDO('mysql:host=localhost;dbname=testdb', 'username', 'password');

// ایجاد دستور آماده

$stmt = $db->prepare("SELECT * FROM users WHERE username = :username AND password = :password");

// تعیین مقادیر پارامترها

$stmt->bindParam(':username', $username);

$stmt->bindParam(':password', $password);

// اجرای دستور

$stmt->execute();

// دریافت نتایج

$result = $stmt->fetchAll();

در این مثال، هیچ‌گونه ورودی کاربر مستقیماً درون کوئری قرار نمی‌گیرد، بلکه به صورت پارامترهایی ایمن اضافه می‌شوند.

مثال در SQL Server:

DECLARE @username NVARCHAR(50), @password NVARCHAR(50);

SET @username = 'user1';

SET @password = 'password123';

EXEC sp_executesql N'SELECT * FROM users WHERE username = @username AND password = @password',

                   N'@username NVARCHAR(50), @password NVARCHAR(50)',

                   @username, @password;

2. استفاده از ORM (Object-Relational Mapping)

ORMها (مثل Entity Framework در .NET، Hibernate در Java و Django ORM در Python) معمولاً به صورت خودکار از دستورات آماده و پارامترهای ایمن استفاده می‌کنند و به شما کمک می‌کنند تا از SQL Injection جلوگیری کنید. استفاده از ORM ها، همچنین به شما این امکان را می‌دهد که از نوشتن کوئری‌های SQL دستی خودداری کنید و از روش‌های ایمن‌تری برای دسترسی به داده‌ها استفاده کنید.

3. اعتبارسنجی ورودی‌ها (Input Validation)

یکی از روش‌های دیگر برای جلوگیری از حملات SQL Injection، اعتبارسنجی ورودی‌ها است. شما باید اطمینان حاصل کنید که ورودی‌های کاربران به درستی کنترل و محدود شوند. این شامل بررسی نوع داده، طول داده، فرمت داده، و بررسی نادرست بودن کاراکترهای خاص است.

استفاده از لیست سفید (Whitelist): به جای استفاده از لیست سیاه (Blacklist) که در آن سعی می‌کنید کاراکترهای مخرب را مسدود کنید، بهتر است از لیست سفید استفاده کنید و فقط اجازه دهید ورودی‌هایی که مشخصاً معتبر هستند وارد شوند.
محدود کردن نوع ورودی: مثلا اگر ورودی فقط باید یک عدد باشد، آن را به گونه‌ای اعتبارسنجی کنید که فقط اعداد معتبر پذیرفته شوند.
محدود کردن طول ورودی: برای جلوگیری از حملات که از ورودی‌های طولانی برای حمله استفاده می‌کنند، طول ورودی‌ها را محدود کنید.

مثال در PHP:

$username = $_POST['username'];

$password = $_POST['password'];

// اعتبارسنجی ورودی (مثال: تنها حروف و اعداد مجاز هستند)

if (preg_match("/^[a-zA-Z0-9]*$/", $username)) {

    // ورود ایمن

} else {

    echo "ورودی نامعتبر است!";

}

4. Escape کردن ورودی‌ها (Escaping Input)

در صورتی که مجبور به استفاده از ورودی‌ها درون کوئری‌های SQL به صورت مستقیم هستید (که توصیه نمی‌شود)، باید تمامی کاراکترهای خاص (مثل ', ", ;, --) را escape کنید. این به معنای اضافه کردن یک backslash (\) قبل از این کاراکترها است.

مثال در PHP:

$username = mysqli_real_escape_string($db, $_POST['username']);

$password = mysqli_real_escape_string($db, $_POST['password']);

$query = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";

در این مثال، از تابع mysqli_real_escape_string استفاده شده است که تمامی کاراکترهای خاص را escape می‌کند.

5. استفاده از Role-Based Access Control (RBAC)

کنترل دسترسی مبتنی بر نقش (RBAC) به شما این امکان را می‌دهد که دسترسی به منابع پایگاه داده را بر اساس نقش‌های مختلف تعیین کنید. با محدود کردن دسترسی به تنها پایگاه داده‌های مورد نیاز و انجام عملیات‌های خاص فقط توسط کاربران معتبر، می‌توانید تأثیر حملات SQL Injection را کاهش دهید.

6. محدود کردن دسترسی به پایگاه داده

عدم استفاده از حساب‌های مدیریتی برای اتصال به پایگاه داده در اپلیکیشن‌ها: همیشه از حساب‌های کاربری با کمترین دسترسی ممکن استفاده کنید. به عبارت دیگر، برای انجام هر عملیات فقط به کاربرانی اجازه دهید که نیاز واقعی به آن داشته باشند.
استفاده از فایروال و نظارت بر ترافیک شبکه: نظارت مستمر بر ترافیک شبکه و استفاده از فایروال‌های SQL می‌تواند به شناسایی حملات SQL Injection کمک کند.

7. استفاده از Stored Procedures

Stored Procedures یا توابع ذخیره‌شده می‌توانند کمک کنند تا دستورات SQL به صورت ثابت و از پیش تعریف شده اجرا شوند. اگرچه به خودی خود نمی‌توانند از SQL Injection جلوگیری کنند، اما در ترکیب با پارامترهای ایمن (مثلاً EXEC sp_executesql) از حملات جلوگیری می‌کنند.

مثال در SQL Server:

CREATE PROCEDURE GetUserInfo

    @username NVARCHAR(50),

    @password NVARCHAR(50)

AS

BEGIN

    SELECT * FROM users WHERE username = @username AND password = @password;

END

8. فعال کردن Logging و Monitoring

با فعال کردن لاگ‌برداری و نظارت بر فعالیت‌های پایگاه داده، می‌توانید حملات SQL Injection را شناسایی کرده و فوراً واکنش نشان دهید. معمولاً ابزارهای نظارتی می‌توانند حملات مشکوک را شناسایی کنند و به شما هشدار دهند.

9. استفاده از Web Application Firewall (WAF)

استفاده از WAF (فایروال‌های برنامه‌های وب) به شما کمک می‌کند که حملات SQL Injection و دیگر حملات معروف وب را شناسایی و مسدود کنید. این فایروال‌ها به طور خاص برای شناسایی الگوهای معمول حملات طراحی شده‌اند.

نتیجه‌گیری:

SQL Injection یکی از تهدیدات امنیتی جدی است که می‌تواند به داده‌های شما آسیب جدی وارد کند. استفاده از دستورات آماده (Prepared Statements)، اعتبارسنجی ورودی‌ها، استفاده از ORM‌ها، escape کردن ورودی‌ها، و کنترل دسترسی مناسب از جمله بهترین روش‌ها برای جلوگیری از حملات SQL Injection هستند. به علاوه، نظارت مداوم بر سیستم و استفاده از ابزارهای امنیتی مانند WAF نیز می‌تواند امنیت پایگاه داده را افزایش دهد.