SQL-Injections på tapeten igen

juni 9th, 2008 by Kristoffer Leave a reply »

Idag skriver idg.se bland annat om SQL-injections i artikeln ”Inte ens experterna går säkra för hacken”. Jag tycker det är otroligt bra gjort av IDG.se att ta upp säkerhetsfrågan gång på gång. Det är uppenbart att just sql-injections ökat den senaste tiden och denna uppmärksamhet man nu ger ämnet är väldigt bra. Som programmerare måste man ständigt hålla sig uppdaterad om de senaste metoderna för att skydda sig mot diverse hack.

Hur skyddar man sig?
Om vi pratar rent tekniskt så skiljer det sig sinsemellan programmeringsspråken men det finns en gemensam nämnare. Kontrollera Allt som surfaren skickar eller kan påverka… alltså formulär, URL’en osv. Lita inte på någon. Du ska även alltid göra väldigt omfattande tester av din sida eller applikation innan den blir offentlig. Om du själv inte vet hur du ska testa din skapelse går det alltid att anlita profesionellt folk som kan göra detta åt dig. Det ska även nämnas att det finns ingenting som är 100% säkert och det är någonting man måste leva med.

Till er som är nya eller har precis börjat programmera i något språk… spendera mycket tid på säkerhetsbiten. Lär er om SQL-Injections, XSS och alla andra former av vanliga hack. Det är väldigt viktigt att ni har en bra grund att stå på, men även att ni håller er uppdaterade. Ett exempel på vad du kan vinna om du håller dig uppdaterad är t ex PDO med prepared statements. I PHP skyddade man sig ofta med addslashes, sen blev det mysql_real_escape_string, samt PHP’s egna magic_quotes i PHP.ini (Försvinner i PHP versionen 6.0.0)… ingen av dessa metoder är skulle jag rekommendera idag till någon. Lär er PDO med prepared statements istället.

Advertisement

Kommentera