ในฐานะส่วนหนึ่งของแคมเปญ 'Secure by Design' FBI และ CISA ซึ่งเป็นหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา ได้เผยแพร่แนวปฏิบัติสำหรับนักพัฒนาเพื่อแก้ไขช่องโหว่ของการแทรก SQL
โปรแกรมนี้ซึ่งเริ่มต้นโดย CISA และ FBI มีวัตถุประสงค์เพื่อแจ้งและเตือนนักพัฒนาซอฟต์แวร์เกี่ยวกับศักยภาพของการโจมตีแบบแทรก SQL และจัดเตรียมเทคนิคการบรรเทาผลกระทบ
"Secure by Design Alert" ได้รับการเผยแพร่เพื่อตอบสนองต่อข้อบกพร่องของ Moveit Transfer ที่ส่งผลกระทบต่อผู้ใช้หลายพันราย ความร้ายแรงและการเกิดขึ้นบ่อยครั้งของปัญหาด้านความปลอดภัยเหล่านี้ได้รับการเน้นไว้ในคำแนะนำที่เรียกว่า "การขจัดช่องโหว่การแทรก SQL ในซอฟต์แวร์"
เป็นเวลากว่า 20 ปีแล้วที่ช่องโหว่ของการแทรก SQL ได้รับการบันทึกไว้อย่างละเอียด และมีการทดสอบวิธีหลีกเลี่ยงแล้ว นักพัฒนาซอฟต์แวร์ยังคงเผยแพร่ผลิตภัณฑ์ที่มีช่องโหว่เหล่านี้อย่างต่อเนื่อง แม้ว่าจะเป็นอันตรายต่อผู้ใช้จำนวนมากก็ตาม การแทรก SQL ถูกจัดประเภทเป็นช่องโหว่ที่สำคัญโดย MITER Corporation ตั้งแต่ปี 2550 แต่ก็ยังเป็นปัญหาด้านความปลอดภัยที่พบบ่อย
คู่มือ CISA และ FBI อธิบายช่องโหว่ของ SQL โดยละเอียด และแนะนำมาตรการรับมือ เช่น การใช้ "คำสั่งที่เตรียมไว้" ซึ่ง MySQL เปิดตัวในปี 2547 ข้อความเหล่านี้ให้วิธีการที่ปลอดภัยกว่าการฆ่าเชื้ออินพุต ซึ่งมักมีประสิทธิภาพน้อยกว่าและยากต่อการปรับใช้ในวงกว้าง ช่วยในการแยกรหัส SQL ออกจากข้อมูลผู้ใช้
แนวปฏิบัติยังแนะนำอีกว่าผู้นำของบริษัทซอฟต์แวร์เป็นเจ้าของความปลอดภัยของลูกค้า ซึ่งอาจผ่านการตรวจสอบโค้ดอย่างเป็นทางการ การรายงานอย่างโปร่งใสเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ทราบ การสร้าง CVE และการปรับโครงสร้างองค์กรที่เน้นความปลอดภัย
แคมเปญ 'Secure by Design' ส่งเสริมการบูรณาการมาตรการรักษาความปลอดภัยในทุกขั้นตอนของวงจรการพัฒนาซอฟต์แวร์ โดยได้รับการสนับสนุนจาก CISA และพันธมิตรทั่วโลก นอกเหนือจากการจัดการกับการแทรก SQL แล้ว ยังให้คำแนะนำเกี่ยวกับการป้องกันฟิชชิ่งและเน้นย้ำถึงความเสี่ยงที่เกี่ยวข้องกับการใช้รหัสผ่านเริ่มต้น โดยทั้งหมดนี้มีเป้าหมายในการส่งเสริมสภาพแวดล้อมออนไลน์ที่ปลอดภัยยิ่งขึ้น