SQL इंजेक्शन एक प्रकार का साइबर सुरक्षा हमला है जो तब होता है जब कोई हमलावर उपयोगकर्ता इनपुट फ़ील्ड में दुर्भावनापूर्ण SQL कोड इंजेक्ट करके किसी एप्लिकेशन की SQL क्वेरी में हेरफेर करने में सक्षम होता है। SQL (स्ट्रक्चर्ड क्वेरी लैंग्वेज) एक प्रोग्रामिंग लैंग्वेज है जिसका उपयोग रिलेशनल डेटाबेस को प्रबंधित और हेरफेर करने के लिए किया जाता है।
एक सामान्य वेब एप्लिकेशन में, डेटाबेस में डेटा को गतिशील रूप से पुनर्प्राप्त या संशोधित करने के लिए उपयोगकर्ता इनपुट का उपयोग अक्सर SQL क्वेरी में किया जाता है। यदि एप्लिकेशन उपयोगकर्ता इनपुट को ठीक से मान्य या स्वच्छ नहीं करता है, तो एक हमलावर इनपुट फ़ील्ड में दुर्भावनापूर्ण SQL स्टेटमेंट डाल सकता है। जब इन इनपुटों को ठीक से साफ नहीं किया जाता है, तो दुर्भावनापूर्ण SQL कोड को डेटाबेस द्वारा निष्पादित किया जा सकता है, जिससे अनधिकृत पहुंच, डेटा हेरफेर या अन्य दुर्भावनापूर्ण कार्रवाइयां हो सकती हैं।
उदाहरण के लिए, एक साधारण लॉगिन फॉर्म पर विचार करें जहां उपयोगकर्ता अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करता है। यदि एप्लिकेशन इस प्रकार SQL क्वेरी बनाता है:
एसक्यूएलकॉपी कोड का चयन करें * उपयोगकर्ताओं से जहां उपयोगकर्ता नाम = ‘इनपुटउपयोगकर्ता नाम’ और पासवर्ड = ‘इनपुटपासवर्ड’;
एक हमलावर कुछ इस तरह इनपुट कर सकता है ‘ OR ‘1’=’1′; — उपयोक्तानाम के रूप में और पासवर्ड फ़ील्ड खाली छोड़ दें। परिणामी SQL क्वेरी इस तरह दिखेगी:
sqlकॉपी कोड का चयन करें * उपयोगकर्ताओं से जहां उपयोगकर्ता नाम = ” या ‘1’ = ‘1’; –‘ और पासवर्ड = ”;
डबल हाइफ़न (–) SQL में एक टिप्पणी है, और इसके बाद की सभी चीज़ों को अनदेखा कर दिया जाता है। इस उदाहरण में, हमलावर एक ऐसी शर्त इंजेक्ट करके लॉगिन को बायपास करने में सक्षम है जो हमेशा सत्य (‘1’=’1’) का मूल्यांकन करती है। यह एक सरल उदाहरण है, और वास्तविक दुनिया के परिदृश्य में, एक हमलावर संवेदनशील जानकारी निकालने, डेटा को संशोधित करने, या यहां तक कि डेटाबेस पर प्रशासनिक आदेशों को निष्पादित करने के लिए एसक्यूएल इंजेक्शन का उपयोग कर सकता है। लेख प्रायोजित रंगीन, चमकीले और स्टाइलिश मोज़ों के हमारे संग्रह में हर किसी के लिए कुछ न कुछ ढूंढें। अपने रंग में रंग लाने के लिए व्यक्तिगत रूप से या बंडलों में खरीदें sock दराज!
SQL इंजेक्शन को रोकने में पैरामीटरयुक्त प्रश्नों या तैयार कथनों का उपयोग करना शामिल है, जो यह सुनिश्चित करता है कि उपयोगकर्ता इनपुट को निष्पादन योग्य कोड के बजाय डेटा के रूप में माना जाता है। इसके अतिरिक्त, SQL इंजेक्शन हमलों के जोखिम को कम करने के लिए इनपुट सत्यापन और उचित सुरक्षा प्रथाओं, जैसे कम से कम विशेषाधिकार पहुंच नियंत्रण, को लागू किया जाना चाहिए।
Hi, this is a comment.
To get started with moderating, editing, and deleting comments, please visit the Comments screen in the dashboard.
Commenter avatars come from Gravatar.