Application Security

دفاع از پایگاه داده: راهنمای جامع پیشگیری از تزریق SQL

تزریق SQL (SQLi) همچنان یکی از آسیب‌پذیری‌های حیاتی و رایج در برنامه‌های وب است که به طور مداوم در رتبه‌های بالای OWASP Top 10 قرار دارد. برای توسعه‌دهندگان، درک نه تنها نحوه پیشگیری از تزریق SQL، بلکه دلیل خطرناک بودن الگوهای خاص، برای حفظ امنیت قوی برنامه ضروری است. این پست به بررسی مکانیسم‌های SQLi و ارائه استراتژی‌های عملی و مبتنی بر کد برای کاهش این خطرات می‌پردازد.

درک آسیب‌پذیری

در هسته خود، تزریق SQL زمانی رخ می‌دهد که مهاجم بتواند در کوئری‌هایی که یک برنامه به پایگاه داده خود ارسال می‌کند، اختلال ایجاد کند. این اتفاق معمولاً زمانی می‌افتد که ورودی کاربر یا به خوبی برای کاراکترهای فرار رشته‌ای که در دستورات SQL تعبیه شده‌اند، فیلتر نشده باشد و یا ورودی کاربر به شدت تایپ نشده و به صورت ضمنی اجرا شود. نتیجه می‌تواند از دسترسی غیرمجاز به داده‌ها تا کاملاً به خطر افتادن سیستم متغیر باشد.

مثال آسیب‌پذیر زیر را با استفاده از یک اتصال‌دهنده پایگاه داده قدیمی فرضی در نظر بگیرید:

// کد آسیب‌پذیر
function getUser(id) {
  const query = "SELECT * FROM users WHERE id = " + id;
  db.execute(query);
}

اگر مهاجم مقدار 1 OR 1=1 را به عنوان پارامتر id ارسال کند، کوئری حاصل به شکل SELECT * FROM users WHERE id = 1 OR 1=1 در می‌آید که عملاً تمام کاربران موجود در پایگاه داده را بازگردانده و در معرض دید قرار می‌دهد. این ماهیت تهدید است.

قانون طلایی: کوئری‌های پارامتری

موثرترین دفاع در برابر تزریق SQL، استفاده از کوئری‌های پارامتری (که به آن‌ها دستورات آماده یا Prepared Statements نیز گفته می‌شود) است. این رویکرد تضمین می‌کند که پایگاه داده بین کد و داده تمایز قائل شود. دستور SQL توسط موتور پایگاه داده از پیش کامپایل شده و پارامترها به صورت جداگانه ارسال می‌شوند. مهم نیست کاربر چه چیزی وارد کند، آن به عنوان داده و نه کد قابل اجرا در نظر گرفته می‌شود.

در اینجا نحوه پیاده‌سازی این روش در محیط‌های مدرن Node.js و Python آمده است:

// NODE.JS (استفاده از کتابخانه‌ای مانند mysql2 یا pg)
const query = "SELECT * FROM users WHERE id = ?";
db.execute(query, [id]); // درایور به طور خودکار از کاراکترهای فرار پشتیبانی می‌کند

// PYTHON (استفاده از psycopg2 برای PostgreSQL)
cursor.execute("SELECT * FROM users WHERE id = %s", (id,))
# توجه: هرگز از قالب‌بندی رشته‌ای مانند f"{id}" یا %s در داخل خود رشته SQL استفاده نکنید

توجه داشته باشید که ساختار کوئری ثابت است و متغیر id به عنوان یک آرگومان جداگانه ارسال می‌شود. سپس درایور پایگاه داده اطمینان حاصل می‌کند که id به درستی فرار شده و تایپ می‌شود، که هر تلاشی برای تزریق سینتکس SQL مخرب را خنثی می‌کند.

استفاده از نگاشت‌دهنده‌های شیء-رابطه‌ای (ORM)

برای برنامه‌هایی که با چارچوب‌هایی مانند Django، Ruby on Rails یا Entity Framework ساخته شده‌اند، استفاده از ORM به شدت توصیه می‌شود. ORM‌ها ساخت مستقیم SQL را انتزاع کرده و خطر تزریق را به طور قابل توجهی کاهش می‌دهند. با این حال، توسعه‌دهندگان باید هوشیار بمانند زیرا ORM‌ها در برابر همه اشکال تزریق مصون نیستند، به ویژه آن‌هایی که شامل نام‌های جدول پویا یا پیوندهای (Joins) پیچیده هستند.

// ایمن: استفاده از Django ORM
# این به طور خودکار پارامترسازی را مدیریت می‌کند
users = User.objects.filter(id=user_id)

// خطرناک: استفاده از SQL خام درون ORM (در صورت لزوم)
# از این مورد پرهیز کنید مگر اینکه واقعاً ضروری باشد
User.objects.raw("SELECT * FROM users WHERE id = " + user_id)

هنگام استفاده از کوئری‌های SQL خام درون یک ORM، همیشه از اصول کوئری‌های پارامتری که در بالا توضیح داده شد پیروی کنید. هرگز ورودی کاربر را مستقیماً در رشته SQL به هم نچسبانید.

اعتبارسنجی ورودی و لیست سفید

در حالی که کوئری‌های پارامتری دفاع اصلی هستند، دفاع در عمق لایه‌های اضافی را نیاز دارد. اعتبارسنجی ورودی به عنوان یک سد ثانویه عمل می‌کند. به جای تلاش برای سیاه‌لیست کردن کاراکترهای مخرب (که نگهداری جامع آن دشوار است)، از لیست سفید استفاده کنید. دقیقاً مشخص کنید که ورودی معتبر چه شکلی است و هر چیزی که مطابقت ندارد را رد کنید.

برای مثال، اگر فیلد id انتظار یک عدد صحیح دارد، این محدودیت را در سطح برنامه قبل از اینکه به پایگاه داده برسد اعمال کنید:

function validateId(input) {
  // بررسی کنید که آیا ورودی یک عدد است و در محدوده مورد انتظار قرار دارد
  if (!Number.isInteger(input) || input <= 0) {
    throw new Error("Invalid ID");
  }
  return input;
}

علاوه بر این، برای ورودی‌های رشته‌ای مانند نام‌ها یا ایمیل‌ها، طول، فرمت و مجموعه کاراکترها را اعتبارسنجی کنید. اگر یک فیلد باید فقط شامل کاراکترهای الفبایی-عددی باشد، هر ورودی که حاوی علائم نگارشی یا نمادهای خاص است را رد کنید.

اصل کمترین امتیاز

در نهایت، با اعمال اصل کمترین امتیاز، تأثیر یک نقض احتمالی را به حداقل برسانید. کاربر پایگاه داده برنامه شما باید فقط مجوزهای لازم برای عملکرد را داشته باشد. اگر برنامه شما فقط نیاز به خواندن داده‌ها دارد، حساب پایگاه داده نباید مجوزهای DELETE یا DROP TABLE را داشته باشد. این کار توانایی مهاجم را برای ایجاد آسیب ساختاری یا سرقت داده‌های حساس، حتی در صورت بهره‌برداری از نقص تزریق، محدود می‌کند.

نتیجه‌گیری

پیشگیری از تزریق SQL یک اصلاح یک‌باره نیست، بلکه یک تمرین مداوم در نوشتن کد امن است. با پایبندی سخت‌گیرانه به کوئری‌های پارامتری، بهره‌گیری از ویژگی‌های ایمنی ORM، پیاده‌سازی اعتبارسنجی ورودی قوی و اعمال اصل کمترین امتیاز، توسعه‌دهندگان می‌توانند برنامه‌های خود را به طور قابل توجهی در برابر این حملات سخت‌تر کنند. به یاد داشته باشید، امنیت مسئولیتی مشترک بین توسعه‌دهندگان، مدیران پایگاه داده و مهندسان امنیت است. هوشیار بمانید، وابستگی‌های خود را به‌روز نگه دارید و همیشه یکپارچگی داده‌ها را در چرخه توسعه خود در اولویت قرار دهید.

Share: