طی سالهای اخیر، «حملات تزریق SQL» یکی از تهدیدهای جدی برای برنامههای کاربردی وب که به نوعی پایگاه دادهای را به خدمت میگیرند، به حساب میآیند. این نوع از حملات اینترنتی، SQL ناخواسته را از طریق یک پارامتر ورودی، به پایگاه داده تزریق میکنند. راههای مختلفی برای جلوگیری از نفوذ حملات تزریق SQL به پایگاه داده معرفی شده است که همگی در سمت سرویسدهنده قابل انجام است و با کدهای کاربرد وب و یا کدهای پرسوجوی پایگاه داده سر و کار دارند. در این مقاله یک روش جدید برای جلوگیری از حملات تزریق معرفی شده است که با درخواستهایی که کاربر به سمت سرویسدهنده ارسال میکند سر و کار دارد. به این صورت که با تشخیص این که کاربر در حال ارسال یک SQL ناخواسته و تزریق آن به پایگاه داده است از ارسال آن به برنامههای کاربرد وب جلوگیری میشود. از آنجا که درخواست مشتری به سمت سرویسدهنده، در نقطه خروجی از سمت مشتری و در نقطه ورودی از سمت سرویسدهنده قابل دسترسی است، امکان پیادهسازی این روش در هر یک از این نقاط بررسی میگردد. نوع خاصی از این حملات، «حملات تزریق کور SQL» نامیده میشوند، که به دلیل کمتر کار شدن بر روی آنها، روش معرفی شده در این مقاله ویژه این نوع از حملات است.
)