Application Security

کد خود را تقویت کنید: راهنمای جامع برای جلوگیری از تزریق SQL

تزریق SQL (SQLi) همچنان یکی از آسیب‌پذیری‌های حیاتی در برنامه‌های وب است که همواره در رتبه‌های بالای فهرست OWASP Top Ten قرار دارد. برای توسعه‌دهندگان متوسط و پیشرفته، درک مکانیسم حمله دیگر کافی نیست؛ شما باید به صورت شهودی بدانید چگونه تعاملات پایگاه داده امن را معماری کنید. این پست استراتژی‌های قطعی برای جلوگیری از تزریق SQL را بررسی می‌کند و از آگاهی اولیه فراتر رفته به الگوهای پیاده‌سازی قوی می‌پردازد.

چرا رشته‌نویسی (String Concatenation) یک نقص حیاتی است

در هسته خود، تزریق SQL از سردرگمی بین کد و داده سوءاستفاده می‌کند. وقتی توسعه‌دهندگان کوئری‌های SQL را با الحاق مستقیم ورودی‌های ارائه‌شده توسط کاربر به رشته کوئری می‌سازند، به عوامل مخرب اجازه می‌دهند منطق کوئری را تغییر دهند. الگوی آسیب‌پذیر زیر در پایتون را در نظر بگیرید:

# نمونه کد آسیب‌پذیر
username = request.form['username']
query = "SELECT * FROM users WHERE username = '" + username + "'"
cursor.execute(query)

اگر کاربر admin' -- را وارد کند، کوئری حاصل به SELECT * FROM users WHERE username = 'admin' --' تبدیل می‌شود. دو خط تیره مابقی کوئری را کامنت می‌کنند که می‌تواند منجر به دسترسی غیرمجاز شود. این اتفاق به این دلیل رخ می‌دهد که موتور پایگاه داده ورودی را به عنوان سینتکس SQL قابل اجرا به جای داده خام در نظر می‌گیرد.

استاندارد طلایی: کوئری‌های پارامتری

موثرترین دفاع در برابر تزریق SQL، استفاده از کوئری‌های پارامتری (که به نام دستورالعمل‌های آماده یا prepared statements نیز شناخته می‌شوند) است. برخلاف رشته‌نویسی، کوئری‌های پارامتری کد SQL را از داده جدا می‌کنند. درایور پایگاه داده ابتدا ساختار کوئری را تجزیه می‌کند و سپس ورودی کاربر را به عنوان داده متصل می‌کند، که تضمین می‌کند هرگز به عنوان کد تفسیر نشود.

در اینجا معادل امن آن با استفاده از کتابخانه sqlite3 پایتون آمده است:

# نمونه کد امن
username = request.form['username']
# استفاده از جایگاه‌ها (?) به جای رشته‌نویسی
query = "SELECT * FROM users WHERE username = ?"
cursor.execute(query, (username,))

در این روش، حتی اگر کاربر ' OR '1'='1 را ارسال کند، پایگاه داده آن را به عنوان یک رشته حروفی برای تطبیق با ستون نام کاربری در نظر می‌گیرد، نه به عنوان یک عملگر منطقی. این روش توسط تقریباً تمام درایورهای پایگاه داده مدرن در زبان‌های مختلف از جمله Node.js، Java، PHP و C# پشتیبانی می‌شود.

استفاده از نگاشت‌دهنده‌های شیء-رابطه‌ای (ORMs)

در حالی که کوئری‌های پارامتری عالی هستند، برنامه‌های مدرن اغلب به ORMهایی مانند Sequelize، SQLAlchemy یا Entity Framework متکی هستند. ORMها تعاملات پایگاه داده را به کد شیءگرا انتزاع می‌کنند و اگر به درستی استفاده شوند، خطر SQLi را به طور قابل توجهی کاهش می‌دهند. با این حال، توسعه‌دهندگان باید از استفاده از روش‌های اجرای کوئری خام در این چارچوب‌ها خودداری کنند، زیرا می‌توانند آسیب‌پذیری‌ها را مجدداً وارد کنند.

برای مثال، در Node.js با Sequelize، همیشه روش‌های سازنده کوئری داخلی را بر اجرای رشته‌های SQL خام مستقیماً از ورودی کاربر ترجیح دهید:

سازنده کوئری به طور خودکار پارامتری‌سازی و فرار (escaping) را مدیریت می‌کند و یک شبکه ایمنی در برابر خطاهای دستی فراهم می‌کند.

دفاع در عمق: لیست سفید و اعتبارسنجی ورودی

تکیه صرف بر محافظت بک‌اند کافی نیست. یک وضعیت امنیتی قوی نیازمند دفاع در عمق است. اعتبارسنجی ورودی باید به عنوان لایه دوم پیاده‌سازی شود. از لیست‌های مجاز (لیست‌های سفید) برای ورودی‌هایی استفاده کنید که مجموعه مقادیر معتبر در آن‌ها شناخته شده و محدود است، مانند گزینه‌های مرتب‌سازی یا فیلترهای وضعیت.

برای مثال، اگر به کاربران اجازه مرتب‌سازی بر اساس نام یا تاریخ را می‌دهید، قبل از ساخت کوئری، ورودی را با یک آرایه از ستون‌های مجاز از پیش تعریف شده اعتبارسنجی کنید:

const allowedSortFields = ['name', 'created_at', 'id'];
const sortField = request.query.sort;

// اعتبارسنجی در برابر لیست سفید
if (allowedSortFields.includes(sortField)) {
  query += ` ORDER BY ${sortField}`;
} else {
  query += ' ORDER BY created_at'; // پیش‌فرض جایگزین
}

نتیجه‌گیری

جلوگیری از تزریق SQL یک پیکربندی یک‌باره نیست، بلکه یک نظم مداوم است. با پایبندی سخت‌گیرانه به کوئری‌های پارامتری، استفاده ایمن از ORMها و پیاده‌سازی اعتبارسنجی ورودی دقیق، می‌توانید این بردار تهدید رایج را حذف کنید. به یاد داشته باشید، اصل کمترین امتیاز نیز اینجا اعمال می‌شود: مطمئن شوید کاربر پایگاه داده برنامه شما تنها مجوزهای ضروری را دارد، تا حتی در صورت وقوع نفوذ، اثرات آن محدود شود. هوشیار باشید، کد را به صورت امن بنویسید و برنامه‌های خود را ایمن نگه دارید.

Share: