Проведено огляд атак SQL-ін'єкції та SQL-ін'єкції на ідентифікатор у системах управління базами даних, визначено їх природу, загрози, які вони несуть, а також види цих атак. Також висвітлено новий метод захисту систем управління базами даних від атаки SQL-ін'єкції на ідентифікатор. Запропоноване рішення - функції, які можна додати до підготовлених операторів API: setColumnName: використовує назву стовпця та його індекс як аргументи та setTableName: використовує назву таблиці та його індекс як аргументи. Цей метод дозволяє підготувати оператори для заповнення плейсхолдерів іменами таблиць і стовпців, запобігає SQL-IDIA, не пропускає інформацію про схему, не має обмежень, які мають підходи, засновані на санітації вводу. Ці дві функції допомагають запобіганню системам управлінням бази даних від витоку конфіденційної інформації про базу даних, виконуючи операцію за замовчуванням, коли ім'я вхідного стовпця або таблиці не існує в базі даних. Наприклад, якщо ім'я стовпця використовується в певній функції і ім'я стовпця є недійсним, система управлінням бази даних упорядкуватиме результати за першим стовпцем таблиці. Розглягуто лише назви таблиць і стовпців у нашому розширеному API, оскільки аналіз GitHub показав, що 96 % конкатенованих ідентифікаторів були іменами таблиць і стовпців. У всіх експериментах нова функція setColumnName перевершила реалізацію динамічного білого списку. У двох експериментах реалізація статичного білого списку дещо перевершила функцію імені нового набору стовпців. Хоча цей спеціальний підхід має невелику перевагу в продуктивності, підходи до створення білого списку можуть внести нетривіальні складності в код програми та призвести до помилкових результатів. Нова функція setColumnName успішно запобігла всім цим атакам. Заповнення плейсхолдерів іменами стовпців є практичним та ефективним у порівнянні з існуючими спеціальними підходами, не створює додаткових витрат у порівнянні з існуючими функціями підготовленого оператора, і ефективний проти атак SQL-ін'єкції на ідентифікатор.

 Наукова періодика України 

---

Додаткова інформація про автора(ів) публікації:
(cписок формується автоматично, до списку можуть бути включені персоналії з подібними іменами або однофамільці)

• Козловський Володимир Олександрович (1950–) (економічні науки)
• Козловський Віктор Петрович (філософські науки)

  Якщо, ви не знайшли інформацію про автора(ів) публікації, маєте бажання виправити або відобразити більш докладну інформацію про науковців України запрошуємо заповнити "Анкету науковця"