Referenssi: Artikkelini ” Sql-injektio-hyokkäyksen torjunta ohjelmallisesti (Python)”

OWASP:in listalla kärkipäässä on ollut tietoturvauhkien osalta useita vuosia jo Injektio, mitä tulee verkkosovelluskehitykseen. Kirjoitin tammikuussa 2019 artikkelin Tietokoneblogiini, ja julkaisin koodin Github-profiilissani, kuinka esimerkiksi SQL-injektio voidaan torjua ohjelmallisesti (Python).

Tätä artikkelia kirjoittaessani 31.3.2019 viime päivinä kyseinen artikkeli on herättänyt kommentointia, lähinnä ”Matti” –nimimerkillä on kommentoitu ja tiedusteltu Injektio-hyökkäyksen tarkoituksesta, ja mahdollisesti kyseenalaistettu ohjelmakoodini toiminta. Hienoa, että kirjoitukseni herättää keskustelua!

SQL-Injektiolla tarkoitetaan hyökkäysmetodia, jossa pahaa tarkoittava hyökkääjä lähettää avoimen tekstikentän kautta HTML-lomakkeessa verkon yli sellaista haittakoodia, joka kohdistuu SQL-lauseisiin sitä kautta päästen käsiksi sellaiseen dataan, joka tietokantaa ylläpitävän tahon puolelta pitäisi olla suojattua.

Tiedon validoinnin lisäksi syöte tulee prosessoida ja oma ratkaisuni tosiaan on käsitellä tekstikentän syöte ennen verkon yli lähetystä yhdeksi halpaSuomiLenkkiMakkaraksi ja muuntaa kaikki kirjaimet pieniksi, niin riskit ovat vähäiset, että kukaan pääsisi haittakoodia kirjoittamaan. Lopullisessa tulos-tulosteessa voi käyttää taas  alkuperäistä syötettä, mikäli kokee lukijan käytettävyyden paranemisen tärkeäksi.