Per esempio se abbiamo una pagina chiamata
http://www.sito.it/news.php?id=5
Possiamo testare se è vulnerabile aggiungendo una "quote" alla fine dell'url
http://www.sito.it/news.php?id=5'
in questo modo se avremo qualcosa del tipo
"You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right etc..."
O qualcosa di simile
Bene
Significa che la pagina è vulnerabile alla Sql injection e che potremmo inserire nuove query nell Sql del sito.
Per proteggere questo problema GreenSql ci viene incontro facendo da firewall tra il sito e il database Sql, validando cosi tutte le richieste che il database Sql riceve e decidendo quali possono venire eseguite e quali no.
GreenSql fa praticamente da proxy al database Sql, al posto di connettere il sito direttamente al database viene filtrato dal firewall.
Potete provare la Demo qua
è distribuito sotto licenza GPL
Riesce a trovare query sospette al database rilevando query amministrative o che estraggono dati sensibili e calcola il rischio di ogni query.
Qui si può vedere il test sulle performance del database con o senza GreenSql
