Por Luiz Paulo de Oliveira Santos
Data de Publicação: 17 de Junho de 2008
Hoje falaremos de um assunto que muitos desenvolvedores se esquecem ao implementar sistemas: Segurança com SQL
Segurança é um assunto que nunca deve ficar de lado. E por isso escrevi esse artigo citando uma dica legal para todos os desenvolvedores e DBAs.
Quando a base de dados é colocada na WEB, deixa-se a cara do banco de dados e da aplicação de gerenciamento exposta para tapas e murros. Quer dizer que fica exposta à diversos tipos de ataques, e um ataque bastante conhecido é o SQL Injection.
Através de SQL Injection uma pessoa má intencionada pode manipular a até mesmo administrar sua base de dados, se o usuário que você utiliza na aplicação tiver direitos no banco de dados.
Pode-se através de SQL Injection executar um brute-force para tentar conseguir uma senha de conexão, pode-se inserir ou deletar registros e até mesmo efetuar DROPs de tabelas e de bancos.
Para bloquear tais tipos de injections deve-se implementar firewalls ativos, que filtrem strings que estão trafegando, principalmente na entrada da sua rede.
Para o MySQL (em todos os seus sabores) dispomos de uma ferramenta chamada GreenSQL que funciona como um proxy reverso. O GreenSQL é específico para MySQL! Obviamente!
Funciona avaliando os comandos SQL que trafegam por ele, e usa uma matriz para classificar o risco de cada instrução. Detecta e bloqueia instruções de administração de banco de dados (como DROPs, CREATEs e etc).
Não sabe se seu MySQL está seguro? Pode rodar a ferramenta de testes do GreenSQL clicando aqui por sua conta e risco! Lembre-se que testes de tal cunho somente devem ser executados em servidores de desenvolvimento de sistemas, jamais em servidores de produção.
GreenSQL é uma ferramenta fundamental para a proteção de sua base, e gratuíta! Para obter maiores informações acesse:
GreenSQL obedece à GPL license.
Até mais!