حقن إس كيو إل SQL Injection (SQLi)

ما هو حقن إس كيو إل؟

هو نوع من هجمات الحقن يستخدمها المهاجمون للحصول على وصول غير مصرح به إلى قاعدة بيانات تطبيقات الويب عن طريق إضافة نصوص برمجية ضارة إلى لغة الاستعلام الهيكلية.

أنواع حقن إس كيو إل

تم تعريف ثلاثة أنواع شائعة من هجمات حقن إس كيو إل وهي ما يلي:

• حقن إس كيو إل بالنطاق: تُعرف بحقن إس كيو إل الكلاسيكية، وهي عندما يستخدم المخترقون نفس القناة أو النطاق لإطلاق أخطاء قاعدة البيانات وجمع نتائج الهجوم. 
• حقن إس كيو إل بالاستدلال: تُعرف بحقن إس كيو إل الأعمى، وهي عندما يرسل المخترقون بيانات إلى خادم قاعدة البيانات لمراقبة استجابته وسلوكه دون أن يتمكنوا من رؤية ما يحدث داخل قاعدة البيانات.
• حقن إس كيو إل خارج النطاق: حيث يستغل المخترقون نظام اسم النطاق (DNS) أو طلبات بروتوكول نقل النص التشعبي (HTTP) لاسترداد البيانات. ويتم عادةً حقن إس كيو إل خارج النطاق عندما يكون خادم الويب بطيئاً جداً أو عندما لا يمكن تنفيذ حقن إس كيو إل بالنطاق.

أفضل ممارسات الحماية من هجوم حقن إس كيو إل

عند تطوير موقع الويب يجب دمج تدابير الأمان التي تحد من التعرض لهجمات حقن إس كيو إل، إليك أفضل الممارسات المتبعة للحماية من هذه الهجمات:

• قم بتثبيت تحديثات البرامج والأمان من المصادر الموثوقة عند توفرها.
• امنح الحسابات التي تتصل بقاعدة بيانات إس كيو إل الحد الأدنى من حقوق الوصول المطلوبة.
• لا تشارك حسابات قاعدة البيانات عبر مواقع الويب والتطبيقات المختلفة.
• استخدم التحقق من صحة مدخلات في القائمة البيضاء لمنع إضافة مدخلات المستخدم غير المصادق عليها إلى الاستعلام.
• التوعية لجميع المشاركين في بناء تطبيق الويب أن يكونوا على دراية بالمخاطر المرتبطة بحقن إس كيو إل.