août
2008
Un article de Alain Defrance
L’injection SQL est un fléau qui guette les développeurs d’applications, et particulièrement les applications web (à cause de leur exposition aux attaques).
Les failles provoquant ces injections sont difficiles à combler de manière définitive puisqu’elles vont dépendre de l’application et des technologies employées.
Il serait très utile de pouvoir régler de manière définitive ces injections côté SGBD.
Une solution commence à voir le jour, elle s’appelle MySQL-Proxy.
MySQL-Proxy est un outil qui surveille tous les échanges entre le client (client de SGBD, ou application), et le SGBD.
Ce contrôle repose sur le fait que toutes les requêtes exécutées par une application (donc les seules susceptibles de provenir d’une injection) possèdent une forme définie. Il devient alors possible d’établir les formes possibles et les autoriser.
MySQL-Proxy s’utilise en deux étapes :
Le mode d’apprentissage est un mode où MySQL-Proxy analyse et considère les requêtes comme valables, ceci se déroule souvent au cours du développement. Tous les cas de figure sont alors analysés, traités, puis mémorisés.
Le mode de blocage est un mode où MySQL-Proxy applique les règles connues. Les requêtes dont la forme est inconnue seront alors considérées comme non autorisées et provoquerons un retour d’erreur de la part du SGBD.
Cette information a été trouvée sur un article de blog de Stefan Esser
Vous pouvez également obtenir plus d’informations sur le site de MySQL-Proxy