🤦 🌛 ↔️ SQL इंजेक्शन और XSS के खिलाफ सुरक्षा का बहुत दिलचस्प विकल्प 😃 🤛🏻 🤬

एक बहुत सम्मानित श्री दान कमिंसकी (डैन कामिंसकी - डीएनएस में एक मौलिक भेद्यता की खोज के लिए जाने जाते हैं) ने एसक्यूएल इंजेक्शन और एक्सएसएस से बचाव के लिए एक बहुत ही रोचक सार्वभौमिक तकनीक का प्रस्ताव रखा।

विधि बहुत सरल है और उस शानदार से।

तकनीक का सार एसक्यूएल प्रश्नों में बेस 64 प्रतिनिधित्व में सभी डेटा को स्थानापन्न करना है और इस तरह यह एसक्यूएल क्वेरी (प्लेसहोल्डर, आदि) में उपयोग किए गए डेटा के किसी भी पार्सर / विश्लेषक का उपयोग करने का कोई मतलब नहीं है।

यह सब मोटे तौर पर एक पंक्ति द्वारा वर्णित किया जा सकता है जैसे:

"चयन करें * Mytable से जहां textfield = base64_decode ('Q29vbEhY2tlcnM =')"

जहाँ base64_decode एक विशेष डेटाबेस द्वारा कार्यान्वित base64 डिकोडिंग फ़ंक्शन है।

बेस 64 में कोई विशेष वर्ण नहीं हैं और इसलिए इसमें दर्ज किए गए डेटा से हमारे अनुरोध पर कोई खतरा नहीं होगा। किसी भी तरह से स्क्रीन करने या इनपुट को संशोधित करने की कोई आवश्यकता नहीं है। यह बेस 64 में उन्हें एनकोड करने और अनुरोध में पारित करने के लिए पर्याप्त है।

तकनीक क्लाइंट पक्ष पर भी लागू होती है - यदि आपको डेटा को उद्धरण चिह्नों में रखने की आवश्यकता है, उदाहरण के लिए, ईवेंट हैंडलर में या js में। मूल डेटा प्राप्त करने की आवश्यकता होने पर बेस 64 डिकोडिंग सीधे js में की जा सकती है।

मेरे दृष्टिकोण से, विधि शानदार है। दो कमियां हैं (मेरी राय में) - इस तरह से संग्रहित चर के लिए मेमोरी में वृद्धि 30% (बेस -64 एन्कोडिंग की एक विशेषता) होगी, साथ ही इनपुट मापदंडों को एन्कोड करने की आवश्यकता के कारण सर्वर लोड में वृद्धि (मुझे लगता है कि आप इसे उपेक्षित कर सकते हैं), और सर्वर लोड डीकोडिंग की आवश्यकता के कारण डीबी (लेकिन मुझे लगता है कि यह उपेक्षित काम नहीं करेगा)।

हालांकि, सटीक होने के लिए, प्रयोगों को करना आवश्यक है, या शायद उपयोगकर्ताओं के बीच जानकार लोग हैं जो इस मामले पर अपनी राय साझा करने के लिए तैयार हैं?

संबंधित लिंक:

दान किम्स्की

बेस 64

दान Kaminsky उसकी विधि के बारे में

SQL इंजेक्शन और XSS के खिलाफ सुरक्षा का बहुत दिलचस्प विकल्प

More articles: