Segurança em banco de dados: estratégias de prevenção e mitigação de injeção SQL para o MYSQL

Abstract

Com o crescente uso de bancos de dados, especialmente os relacionais, a preocupação com a segurança das aplicações web também aumenta, sendo os ataques de injeção SQL uma das ameaças mais comuns. Estes ataques, que muitas vezes podem ser realizados com relativa facilidade, exploram falhas nos sistemas que passam despercebidas pelos desenvolvedores. Essa falta de percepção não decorre de uma falha técnica dos profissionais, mas sim à carência de uma compreensão profunda sobre o funcionamento interno dos Sistemas de Gerenciamento de Bancos de Dados (SGBDs). Através de pesquisa bibliográfica, este trabalho abordou os conceitos fundamentais sobre bancos de dados, a arquitetura dos SGBDs e o processamento da linguagem SQL, com ênfase nas vulnerabilidades que tornam os sistemas suscetíveis a ataques. A análise das vulnerabilidades em bancos de dados e a implementação de um sistema CRUD demonstraram que, apesar de o MySQL não ser o banco de dados mais seguro, técnicas como o uso de Views, Prepared Statements e Stored Procedures são eficazes para mitigar os riscos de injeção SQL. Além disso, foram exploradas ferramentas e práticas existentes para prevenir e mitigar esses ataques. Conclui-se que a segurança deve ser uma prioridade desde as primeiras fases de desenvolvimento, não apenas a entrega de um software funcional. A criação de sistemas seguros é essencial para proteger dados e garantir a integridade das operações, reforçando a necessidade de uma abordagem holística que considere tanto a funcionalidade quanto a segurança das aplicações.

With the increasing use of databases, especially relational ones, concerns about web application security have also risen, with SQL injection attacks being one of the most common threats. These attacks, which can often be executed relatively easily, exploit system vulnerabilities that go unnoticed by developers. This lack of awareness is not due to a technical failure on the part of professionals, but rather to a limited understanding of the internal workings of Database Management Systems (DBMSs). Through a bibliographic review, this work addresses fundamental concepts about databases, the architecture of DBMSs, and the processing of SQL language, with a focus on the vulnerabilities that make systems susceptible to attacks. The analysis of database vulnerabilities and the implementation of a CRUD system demonstrated that, although MySQL is not the most secure database, techniques such as using Views, Prepared Statements, and Stored Procedures are effective in mitigating SQL injection risks. Additionally, existing tools and practices for preventing and mitigating these attacks were explored. It is concluded that security must be a priority from the early stages of development, not just at the delivery of a functional software. Building secure systems is essential to protect data and ensure the integrity of operations, reinforcing the need for a holistic approach that considers both functionality and security in applications.