2. Phần thực hành LAB :
2.1.SQL Injection là gì ?
- Khi triển khai hoặc xây dựng các ứng dụng Web trong môi trường
internet, rất nhiều nhà quản trị (Administrator) hoặc các chính sách của các công ty vẫn chủ quan cho rằng việc đảm bảo an toàn, bảo mật cho toàn bộ hệ thống máy chủ nhằm giảm thiểu xuống mức thấp nhất khả năng bị tấn công từ các hacker chỉ đơn giản là tập trung vào các vấn đề to lớn như hệ điều hành, hệ quản trị cơ sở dữ liệu, webserver sẻ được cho chạy ứng
dụng…mà họ (người quản trị và chính sách của các công ty) quên mất rằng ngay những ứng dụng chạy trên đó cũng tiềm ẩn rất nhiều lổ hổng bảo mật .Một trong số các lổ hổng bảo mật đó là lỗi SQL Injection, tại Việt Nam hiện nay đã qua rồi cái thời mà người quản trị Website, Web Server chỉ làm những công việc như diệt virus, malware, w0rm…, cập nhập các bản vá lỗi từ các hãng phần mềm hệ thống mà bỏ qua việc quan tâm đến lỗi của các ứng dụng Web .Đây chính là nguyên nhân tại sao trong thời gian vừa qua không ít các Website của Việt Nam bị tấn công và đa số là đều dựa vào lỗi SQL Injection .Vậy SQL Injection là gì ?
- SQL Injection là một kỹ thuật cho phép các hacker tấn công và lợi
dụng lổ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu để truyền vào (Injection) và thực thi các câu lệnh SQL bất hợp pháp (vấn đề này do người phát triển ứng dụng vô tình hoặc sơ suất trong quá trình phát triền ứng dụng không lường trước được) .Hậu quả của việc này rất tai hại vì nó cho phép các hacker có thể thao tác xóa, hiệu chỉnh , thêm mới …do có toàn quyền trên cơ sở dữ liệu của ứng dụng, nguy hiểm hơn là server mà ứng dụng đó đang chạy .Loại lỗi này thường xuyên xảy ra trên các ứng dụng web có sử dụng dữ liệu được quản lý bằng các hệ quản trị cơ sở dữ liệu như Microsoft SQL Server, MySQL, Oracle, DB2 …