В статье обсуждается актуальная проблема защиты баз данных PostgreSQL от атак типа SQL-инъекций (SQLi), представляющих серьезную угрозу целостности и конфиденциальности данных. Для решения проблемы предложен метод серверного расши-рения, интегрируемого на уровне ядра СУБД. Расширение использует механизм перехвата SQL-запросов через системные хуки (ProcessUtility_hook, ExecutorStart_hook) и выполняет их верификацию с применением криптостойкого алгоритма хеширования ГОСТ Р 34.11-2018 («Стрибог»).

Рассмотрены ключевые аспекты реализации:

·    очистка SQL-запросов от переменных данных (значений атрибутов) для анализа структуры;

·    сравнение хешей очищенных запросов с «белым списком» разрешенных шаблонов;

·    реализация функций управления политиками (добавление хешей, отключение проверки);

·    детальное логирование операций.

Решение обеспечивает защиту на уровне ядра СУБД без модификации прикладного ПО, соответствуя требованиям российских стандартов информационной безопасности. Разработанное расширение предназначено для систем с повышенными требованиями к безопасности данных

1.??Юрченко А.С., Яшаров Д.А., Ефименко К.Н. Отдельные аспекты безопасности информационных систем // Программная инженерия: методы и технологии разработки информационно-вычислительных систем (ПИИВС-2018): сборник научных трудов II Международной научно-практической конференции (студенческая секция). В 2 т. Т. 2. – Донецк: Донец. нац. техн. ун-т, 2018. – С. 218–222. – EDN AJEVJE.

2.??Бурмистров А.В., Белов Ю.С. Недостатки реляционных баз данных // Электронный журнал: наука, техника и образование. – 2015. – № 3 (3). – С. 25–34. – EDN VZCABF.

3.??Бакиров А.М., Рычков В.А., Рычкова В.И. Анализ уязвимостей систем управления базами данных и как их обнаружить на основе атаки SQL // МСИ: 10 лет подготовки кадров для международной системы ПОД/ФТ: материалы IX Международной научно-практической конференции Международного сетевого института в сфере ПОД/ФТ, Москва, 22–24 ноября 2023  года. – М.: МИФИ, 2023. – С. 128–133. – EDN NQNGVA.

4.??Бурлевич М.В. Утилита для обнаружения и эксплуатации слепых SQL-инъекций // Студенческая научная весна: сборник тезисов докладов Всероссийской студенческой конференции, посвященной 110-летию со дня рождения академика В.Н. Челомея, Москва, 01–30 апреля 2024 года. – М.: Научная библиотека, 2024. – С. 214–215. – EDN TKULDR.

5.??Мисбахов Н.И., Лукьянов Э.Р., Степанов М.О.А.А.М. Исследование методов эксплуатации SQL-инъекций // Актуальные проблемы науки и образования в условиях современных вызовов: cборник материалов XXVIIII Между-народной научно-практической конференции, Москва, 01 марта 2024 года. – СПб., 2024. – С. 59–62. – EDN AJEOHL.

6.??Адаптивное обнаружение вредоносных запросов в веб-атаках / Е.Н. Успенский, А.С. Стариков, Г.В. Ромашкина, А.Н. Норкина // Актуальные проблемы менеджмента, экономики и экономической безопасности: cборник материалов Международной научной конференции, Костанай, 27–29 мая 2019 года. – Чебоксары: Среда, 2019. – С. 308–311. – DOI: 10.31483/r-32922. – EDN KBXFRR.

7.??Предупреждение атак, базирующихся на SQL-инъекциях / Н.В. Яко-венко, Е.М. Чижова, Л.А. Тремасова, Д.Д. Гадасин // REDS: Телекоммуникационные устройства и системы. – 2023. – Т. 13, № 3. – С. 41–48. – EDN QUTEJS.

8.??Левин Л.А. Односторонние функции // Проблемы передачи информации. – 2003. – Т. 39, № 1. – С. 103–117. – EDN DJXDMX.

9.??PostgreSQL Global Development Group. *Server Programming Interface* // PostgreSQL Documentation. – URL: https://www.postgresql.org/docs/current/ spi.html (accessed: 02.09.2025).

10.??Лёвин В.Ю. О повышении криптостойкости однонаправленных хеш-функций // Фундаментальная и прикладная математика. – 2009. – Т. 15, № 5. – С. 171–179. – EDN MXSFIX.

11.??Котов Ю.А. Приложения шифров. Криптоанализ. – Новосибирск: Изд-во НГТУ, 2019. – 76 с.

12.??Brown S. The C4 model for visualising software architecture. – URL: https://c4model.com/ (accessed: 05.05.2025).

13.??Криптоанализ хэш-функции ГОСТ Р 34.11–2012. – URL: https://habr.com/ru/post/210684/ (дата обращения: 02.09.2025).

14.??Гадасия Д.В., Шведов А.В., Пантелеева К.А. Предобработка информации для систем машинного обучения // Актуальные проблемы и перспективы развития экономики: труды XXI Международной научно-практической конференции, Симферополь – Гурзуф, 20–22 октября 2022 года. – Симферополь, 2022. – С. 268–269. – EDN QVIOMF.

15.??Дроботун Е. Импортозамещенное шифрование глазами програм-миста. Хэшируем по ГОСТ 34.11–2012. – URL: https://xakep.ru/2016/07/20/ hash-gost-34-11-2012/ (дата обращения: 02.09.2025).