WWW hacking a obrana / 7. časť

Da­ta­bá­zo­vý server MS SQL (Mic­ro­soft SQL) je roz­ší­re­ný vďa­ka je­ho roz­sia­hlym mož­nos­tiam a kva­li­te. No ako to už bý­va, všet­ko má svoj rub aj lí­ce. Na dis­kus­ných fó­rach sa mož­no stret­núť aj s ta­kým­to ná­zo­rom: Ne­pou­ží­va­me MS SQL server, pre­to­že je­ho mož­nos­ti mô­žu byť zneu­ži­té útoč­ní­kom. Roz­ší­re­né ulo­že­né pro­ce­dú­ry (Exten­ded Sto­red Pro­ce­du­res), kto­ré server po­nú­ka, mô­že útoč­ník veľ­mi jed­no­du­cho zneu­žiť s cie­ľom zís­kať pl­nú kon­tro­lu nad cie­ľo­vým server­om.MS SQL server a SQL In­jec­tion Da­ta­bá­zy, kto­ré bež­ia na MS SQL server­i, nie sú z poh­ľa­du útoč­ní­ka veľ­mi od­liš­né od da­ta­báz ty­pu MySQL. No sú pre útoč­ní­ka az­da vďač­nej­ším cie­ľom, pre­to­že chy­bo­vé vý­pi­sy, kto­ré server pri chy­be po­žia­dav­ky (query) pos­ky­tu­je, sú čas­to prí­nos­nej­šie ako na da­ta­bá­zo­vom sys­té­me MySQL. Ďal­ším plu­som pre útoč­ní­ka je mož­nosť vkla­dať viac po­žia­da­viek od­de­le­ných ; a tým aj ove­ľa väč­šie mož ...