você está aqui: Home → Colunistas → Bancos de Dados Livres
Por Luiz Paulo de Oliveira Santos
Data de Publicação: 17 de Junho de 2008
Hoje falaremos de um assunto que muitos desenvolvedores se esquecem ao implementar sistemas: Segurança com SQL
Segurança é um assunto que nunca deve ficar de lado. E por isso escrevi esse artigo citando uma dica legal para todos os desenvolvedores e DBAs.
Quando a base de dados é colocada na WEB, deixa-se a cara do banco de dados e da aplicação de gerenciamento exposta para tapas e murros. Quer dizer que fica exposta à diversos tipos de ataques, e um ataque bastante conhecido é o SQL Injection.
Através de SQL Injection uma pessoa má intencionada pode manipular a até mesmo administrar sua base de dados, se o usuário que você utiliza na aplicação tiver direitos no banco de dados.
Pode-se através de SQL Injection executar um brute-force para tentar conseguir uma senha de conexão, pode-se inserir ou deletar registros e até mesmo efetuar DROPs de tabelas e de bancos.
Para bloquear tais tipos de injections deve-se implementar firewalls ativos, que filtrem strings que estão trafegando, principalmente na entrada da sua rede.
Para o MySQL (em todos os seus sabores) dispomos de uma ferramenta chamada GreenSQL que funciona como um proxy reverso. O GreenSQL é específico para MySQL! Obviamente!
Funciona avaliando os comandos SQL que trafegam por ele, e usa uma matriz para classificar o risco de cada instrução. Detecta e bloqueia instruções de administração de banco de dados (como DROPs, CREATEs e etc).
Não sabe se seu MySQL está seguro? Pode rodar a ferramenta de testes do GreenSQL clicando aqui por sua conta e risco! Lembre-se que testes de tal cunho somente devem ser executados em servidores de desenvolvimento de sistemas, jamais em servidores de produção.
GreenSQL é uma ferramenta fundamental para a proteção de sua base, e gratuíta! Para obter maiores informações acesse:
GreenSQL obedece à GPL license.
Até mais!
Luiz Paulo de Oliveira Santos teve seu primeiro contato com computadores em 1984, estudou BASIC para equipamentos de 8 bits (ZX-81 e Apple 2), em 1985 com o ambiente de 16 bits, e em 1988 com o ambiente de 32 bits. Em 1993 foi um dos primeiros Brasileiros a ter contato com o VBK que em 1995 se tornou o Delphi. Graduou em Tecnologia Em Processamento de Dados, cursou especialização em Análise de Sistemas e atualmente é graduando em Ciências Jurídicas. Atua como analista de suporte de redes da Universidade Metodista de Piracicaba, é editor da revista DB Freemagazine (uma revista gratuíta focada exclusivamente para bancos de dados Cliente/Servidor) e professor nas Faculdades Integradas Einstein de Limeira no curso de Tecnologia em Sistemas de Informação. Tem experiência nas áreas: Sistemas de Computação, Redes e Teleprocessamento de Dados, Bancos de Dados cliente-servidor e SQL. É autor do livro Firebird - Dicas de Segurança, publicado pela Editora Ciência Moderna.