Com a part de la seva campanya "Secure by Design", l'FBI i CISA, l'agència de ciberseguretat dels Estats Units, han publicat directrius per als desenvolupadors per abordar les vulnerabilitats d'injecció SQL.
Aquest programa, que va ser iniciat per CISA i l'FBI, és per informar i advertir els desenvolupadors de programari sobre el potencial dels atacs d'injecció SQL i proporcionar tècniques de mitigació.
L'alerta "Secure by Design" es va publicar com a resposta als defectes de Moveit Transfer que van afectar milers d'usuaris. La gravetat i l'aparició freqüent d'aquests problemes de seguretat s'han destacat en una guia anomenada "Eliminació de les vulnerabilitats d'injecció SQL al programari".
Durant més de 20 anys, les vulnerabilitats d'injecció SQL s'han documentat a fons i hi ha maneres provades d'evitar-les. Els desenvolupadors de programari han continuat llançant productes amb aquestes vulnerabilitats malgrat això, posant en perill un gran nombre d'usuaris. Les injeccions SQL van ser categoritzades com a vulnerabilitats importants per la Corporació MITRE des del 2007, però encara són un problema de seguretat freqüent.
El manual de CISA i FBI descriu les vulnerabilitats SQL en detall i suggereix contramesures, com l'ús de "instruccions preparades", que MySQL va publicar el 2004. Aquestes declaracions proporcionen un mètode més segur que la desinfecció d'entrada, que sovint és menys eficient i més difícil de desplegar àmpliament. Ajuden a separar el codi SQL de les dades de l'usuari.
A més, les directrius recomanen que el lideratge de les empreses de programari es faci responsable de la seguretat dels clients, possiblement mitjançant revisions formals de codi, informes transparents de vulnerabilitats de seguretat conegudes, creació de CVE i reorganitzacions organitzatives centrades en la seguretat.
La campanya 'Secure by Design' promou la integració de mesures de seguretat en cada etapa del cicle de vida del desenvolupament de programari, amb el suport de CISA i socis globals. A més d'abordar la injecció SQL, ofereix una guia sobre la prevenció del phishing i posa l'accent en els riscos associats a l'ús de contrasenyes predeterminades, tot amb l'objectiu de promoure un entorn en línia més segur.