Sql injection
Gegevens bewaren en opslaan voor een website verloopt bijna altijd via een database. Zie dit als een grote bibliotheek waar gegevens heen geschreven worden en weer uit opgehaald kunnen worden. In deze database staat dus veel informatie over bijvoorbeeld gebruikers zoals email adressen, wachtwoorden, aankoop gegevens en ga zo maar door. Het is daarom belangrijk dat niet iedereen bij deze database kan. Hiervoor is er een login systeem die de toegang weigert aan iedereen die niet het correcte wachtwoord heeft.
Onder de gebruikers die wel toegang hebben zit Ă©Ă©n speciale gebruiker: de website zelf. Deze heeft uiteraard ook toegang nodig tot de database om gegevens op te slaan en weer op te vragen. Hierbij wordt gebruik gemaakt van een speciale programmeer taal, SQL (Structured Query language). Tijdens het maken van de website worden acties (Queryâs) klaar gezet waarmee gegevens van en naar de database kunnen worden verzonden. De gebruiker van de website heeft echter geen invloed op wat wel of niet uit de database wordt gehaald.
.. Normaal gesproken ..
Hoewel deze queryâs niet meer aanpasbaar zijn, kunnen de gegevens die verstuurd worden vaak wel aangepast worden.
Stel dat we ons aanmelden voor een nieuwsbrief met het bovenstaande formulier. Deze gegevens zullen worden opgeslagen in de database om later bij het verzenden van de nieuwsbrief weer gebruikt te kunnen worden. Voor deze opdracht zou bijvoorbeeld het volgende sql script geschreven kunnen zijn:
INSERT INTO nieuwsbrief_aanmeldingen (naam, emailadres)
VALUES (âbaukeâ, âb.jansen@sigmasolutions.nlâ)
Hiermee zou worden gezegd: vind de tabel met nieuwsbrief aanmeldingen en voeg een nieuwe rij toe met de volgende waarden. Maar wacht, die waarden hebben we zonet bij het verzenden van het formulier ingevuld. Deze gegevens zijn uit het invulveld gehaald en in de Query gezet om zo opgestuurd te kunnen worden naar de database. Dat betekend overigens dat als we in plaats van bijvoorbeeld een gebruikers naam, een stuk sql code zouden invoeren dit ook gewoon zou worden uitgevoerd. Dit staat bekend als SQL injectie. Het toevoegen (injecteren) van extra sql script aan een al bestaande query. Een kwaadwillende persoon kan hiermee bijvoorbeeld alle gegevens in de database opvragen .. of verwijderen als hij dat zou willen.
Nu we dit weten is het uiteraard ook belangrijk om te kijken hoe sql injectie voorkomen kan worden. De eerste stap is het controleren van de invoer. Bepaalde combinaties van tekens die aanduiden dat er sql code wordt uitgevoerd zouden niet voor moeten komen. In sommige gevallen kunnen voor de zekerheid bepaalde tekens zelfs compleet worden verwijderd uit de invoer. Gebruikersnamen bestaan over het algemeen bijvoorbeeld niet uit kommaâs of vraagtekens.
Verder is het belangrijk dat de gegevens niet rechtstreeks in de query worden gezet. Hiervoor is een veiligheids laag aanwezig welke via âparametersâ de benodigde gegevens meezend zonder dat deze uitgevoerd kunnen worden als code.
Als laatst is consistentie belangrijk. Een van de redenen waarom SQL injectie zo gevaarlijk is, is niet omdat het moeilijk te voorkomen is, maar omdat het vaak op onverwachte plaatsen voor kan komen. Op een website staat vele verschillende formulieren en ook andere gegevens die worden verzonden kunnen vatbaar zijn voor sql injectie. En een aanvaller heeft maar Ă©Ă©n lek nodig om binnen te komen. Hiervoor is het belangrijk dat alle invoer gecheckt wordt, ook al wordt de invoer optie nog zo weinig gebruikt.
Andere blogartikelen
