近日來報章報導有關網路駭客使用『資料隱碼』(SQL Injection)來竊取資料或破壞電子商務網站,對於網路駭客所造成的負面影響,應予以嚴厲譴責。
資料庫為電子商務與企業內各應用系統資料儲存之軟體系統,而對資料庫進行存取或查詢主要是使用資料查詢語言-SQL (Structure Query Language, SQL),幾乎所有的資料庫廠商都使用SQL為其標準的資料查詢語言。因此絕大部份電子商務的交易行為都會使用SQL語言所撰寫程式碼來存取或查詢資料庫 內所存放之資料。
對於典型的電子商務網站而言,一般的會員認證與資料查詢作業,是當客戶輸入資料或查詢條件後,經過程式存取後端資料庫並將結果呈現在網頁上,若未能對客戶 所輸入的資料進行驗証,就讓駭客有機可乘。大部份的駭客係利用輸入特殊命令,讓系統將之與標準的資料庫查詢程式和資料合併在一起,送給資料庫管理系統執 行,因此一段有害的程式碼被正常的程式碼包裝起來形成『隱碼』,直接對資料庫存取資料或進行破壞,進而造成資料庫損毀或資料流失。因此任何與客戶互動的程 式尤其是會對資料庫進行存取或查詢的程式碼,都是駭客下手的對象。
