6.8 SQL - Injection

-

هجوم SQL Injection

هجوم SQL Injection هو نوع من الهجمات يُستغل فيه ثغرات في استعلامات SQL لسرقة أو تعديل أو تدمير البيانات الموجودة في قاعدة البيانات.

🛑 هذا الهجوم غالبًا يحدث عندما يتم إدخال مدخلات المستخدم مباشرة داخل استعلام SQL بدون أي فلترة أو حماية.

🔍 مثال غير آمن:

لنفرض عندنا استعلام يستخدم اسم المستخدم وكلمة المرور كالتالي:

 SELECT * FROM Users WHERE Username = 'admin' AND Password = '1234';

لو المستخدم كتب التالي في خانة كلمة المرور:

 ' OR '1'='1

الاستعلام هيبقى كالتالي:

 SELECT * FROM Users WHERE Username = 'admin' AND Password = '' OR '1'='1';

⬅ النتيجة؟ يرجع كل الصفوف لأن الشرط '1'='1' دائمًا صحيح!

🔐 كيف نحمي أنفسنا؟

  • استخدم Parameters: في ADO.NET أو PDO أو غيرها من التقنيات.
  • لا تبني الاستعلامات بسلاسل نصية من مدخلات المستخدم.
  • استخدم Stored Procedures إن أمكن.
  • فلترة مدخلات المستخدم: امنع إدخال أوامر ضارة أو رموز اقتباس.

✅ مثال باستخدام Parameterized Query في C#

 string query = "SELECT * FROM Users WHERE Username = @username AND Password = @password"; SqlCommand cmd = new SqlCommand(query, connection); cmd.Parameters.AddWithValue("@username", usernameInput); cmd.Parameters.AddWithValue("@password", passwordInput);

⬅ هنا يتم إرسال القيم بأمان بدون دمجها مباشرة داخل الاستعلام.

💡 ملاحظات:

  • SQL Injection من أخطر الثغرات الأمنية الشائعة في تطبيقات الويب.
  • يجب دائمًا كتابة الكود مع أخذ الأمان بعين الاعتبار منذ البداية.

تعليقات

إرسال تعليق

المشاركات الشائعة من هذه المدونة

HTML - Text Formatting تنسيقات النص

-
تنسيقات النص في HTML (HTML Text Formatting) توفر HTML مجموعة من الوسوم الخاصة بتنسيق النصوص، مثل جعل النص عريض (Bold)، مائل (Italic)، تحته خط، مشطوب، وغيرها. ✅ أشهر وسوم التنسيق: الوسم الوصف <b> لجعل النص عريض بدون أهمية معنوية <strong> لجعل النص عريض مع دلالة على الأهمية <i> لجعل النص مائل بدون أهمية معنوية <em> لجعل النص مائل مع دلالة على التأكيد <mark> لتمييز النص بخلفية صفراء مثل التظليل <small> لجعل النص بحجم أصغر <del> لنص مشطوب <ins> لنص مضاف حديثًا <sub> لنص سفلي (H 2 O) <sup> لنص علوي (x 2 ) 🧪 أمثلة على تنسيق النصوص: <p>هذا نص <b>عريض</b> باستخدام وسم <b>.</p> <p>هذا نص <strong...
قراءة المزيد

1.1 SQL Introduction

-
SQL Introduction – مقدمة في SQL  ما هي SQL؟ SQL هي اختصار لـ Structured Query Language (لغة الاستعلام البنيوية). SQL تُستخدم للوصول إلى قواعد البيانات والتحكم فيها ( access and manipulate databases ). SQL تعتبر معيارًا معتمدًا من ANSI (المعهد القومي الأمريكي للمعايير).  ماذا يمكن أن تفعل SQL؟ SQL يمكنها تنفيذ الاستعلامات على قاعدة البيانات ( execute queries against a database ). SQL يمكنها استرجاع البيانات من قاعدة البيانات ( retrieve data from a database ). SQL يمكنها إدخال سجلات في قاعدة البيانات ( insert records in a database ). SQL يمكنها تحديث السجلات في قاعدة البيانات ( update records in a database ). SQL يمكنها حذف السجلات من قاعدة البيانات ( delete records from a database ). SQL يمكنها إنشاء قواعد بيانات جديدة ( create new databases ). SQL يمكنها إنشاء جداول جديدة داخل قاعدة البيانات ( create new tables in a database ). SQL يمكنها إنشاء إجراءات مخزنة ( stored procedures ) داخل قاعدة البيانات. SQL يمكنها إنشاء عروض...
قراءة المزيد

Entity Framework - مقدمة عن Entity Framework

-
مقدمة عن Entity Framework 📜 لمحة تاريخية عن Entity Framework - أول إصدار من Entity Framework ظهر سنة 2008 كجزء من .NET Framework. - كان اسمه الرسمي ببساطة "Entity Framework"، ويعمل على ربط التطبيقات مع قواعد بيانات SQL بطريقة برمجية. - Entity Framework وفر وقتها أسلوبين رئيسيين للعمل: Database First ➔ إنشاء الكود انطلاقًا من قاعدة بيانات موجودة. Model First ➔ إنشاء قاعدة البيانات انطلاقًا من نموذج (Model) مرسوم. ✅ مع الوقت تطورت EF وتم إضافة أسلوب جديد يسمى Code First الذي أصبح من أكثر الطرق استخدامًا اليوم. 🔗 إصدارات Entity Framework قبل EF Core Entity Framework 1.0 (2008) - الإصدار الأول وكان محدود الإمكانيات. Entity Framework 4.0 (2010) - تحسينات كبيرة ودعم أفضل لـ POCO classes. Entity Framework 5.0 و6.0 (2012-2013) - دعم مميزات متقدمة مثل Migrations وتحسين الأداء. 💡 ملاحظة: لم يكن هناك EF 2.0 أو EF 3.0 رسميًا. 🚀 لماذا تم تطوير Entity Framework Core؟ مع ظهور .NET Core، احتاجت مايكروسوفت إلى نسخة خفيفة وعصرية م...
قراءة المزيد