Статьи
Программы

Шифрование конфиденциальных и личных данных

Эта мера защиты чрезвычайно важна, потому что она демонстрирует, что вы не только с должным вниманием относитесь к созданию более безопасных программ, но и следуете общим принципам безопасности. К счастью, основные современные СУБД — такие, как Oracle, IBM DB2 и MySQL — поддерживают шифрование.

Использование URLScan

В 2008 году фирма Microsoft обновила URLScan — программу, ограничивающую запросы HTTP к веб-серверу IIS — для защиты от некоторых разновидностей атак внедрения SQL из Интернета.

Так же стоит упомянуть и о такой традиционной, хорошо известной защитной мере РНР, как включение строки magic_quotes_gpc=l в файл php.ini. Однако для РНР 6.0.0 и выше эта мера считается устаревшей.

Как защитить личные данные?

Рекомендуется знание используемой базы данных и ее зависимых пакетов. Поддерживает ли она сохраненные процедуры? Как выглядит оператор комментария? Позволяет ли она атакующему лицу вызывать расширенную функциональность?

Необходимы знания стандартного метода атаки внедрения SQL против используемой базы данных. Если вам абсолютно необходимо динамически строить команды SQL, используйте функции ограничения или разделения.

Обеспечьте шифрование конфиденциальных данных в базе. Блокируйте доступ к объектам базы данных и предоставляйте его только сохраненным процедурам и представлениям. Не ограничивайтесь простым удалением «плохих слов».

Возможны бесчисленные комбинации и служебные последовательности, которые вы не обнаруживаете, и «плохие слова» могут остаться даже после удаления «плохих слов:

Представьте, как вы удаляете «delete» из строки «deldeleteete». Не используйте входные данные т.к. не «существует» абсолютно никакого способа безопасного построения команд SQL.

Не выполняйте непроверенные параметры в сохраненных процедурах. Не ограничивайтесь проверкой входных данных на стороне клиента. Не подключайтесь к базе данных на привилегированном уровне учетной записи (например, sa или root).

Не выставляйте свой пароль пользователя в не зашифрованном виде и не включайте его в связь с приложением не известной вам конфигурации. Не храните данные конфигурации базы данных в корневом веб-каталоге документов.

Рассмотрите возможность блокировки доступа ко всем пользовательским таблицам базы данных, с обращением к базе данных только через сохраненные процедуры. Затем постройте запрос, используя сохраненную процедуру и параметризованные запросы.

По материалам сайта http://xbb.uz