SQL injection هو ثغرة أمنية يقوم فيها المهاجم بإدراج SQL ضار من خلال إدخال المستخدم — مما يؤدي إلى التلاعب باستعلامات قاعدة البيانات لسرقة البيانات أو تجاوز المصادقة أو إلحاق الضرر بالبيانات. إنها واحدة من أخطر والثغرات الويب الكلاسيكية، لكن يمكن منعها باستخدام تقنيات صحيحة.
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
query = ;
يتم التعامل مع إدخال المهاجم كـ رمز SQL بدلاً من البيانات — مما يسمح له بإعادة كتابة الاستعلام (تجاوز تسجيل الدخول، تفريغ جميع البيانات، حذف الجداول).
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]); // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
الاستعلامات المعممة (prepared statements) تفصل بين رمز SQL والبيانات — لا يمكن أبداً أن يتم تفسير الإدخال كـ SQL. هذا هو الدفاع الأساسي والموثوق.
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
فهم SQL injection وكيفية منعها أمر ضروري لأنها واحدة من أخطر والثغرات الويب الكلاسيكية والشائعة (جزء من فئة OWASP للحقن)، وفي نفس الوقت يمكن منعها بالكامل، لذا فهي معرفة أمان يجب أن يعرفها كل مطور يعمل مع قواعد البيانات.
فهم كيفية عملها — أن دمج إدخال المستخدم مباشرة في استعلامات SQL يسمح للمهاجم بـ حقن رمز SQL (يتم التعامل مع إدخالهم كرمز وليس بيانات)، مما يمكّنهم من تجاوز المصادقة (' OR '1'='1)، تفريغ جميع البيانات، أو حتى حذف الجداول ('; DROP TABLE) — أمر ضروري للتعرف على الثغرة وتجنبها.
قد يكون SQL injection كارثياً (خرق البيانات بالكامل، تدمير البيانات، تجاوز المصادقة)، مما يجعله حرجاً جداً.
فهم الوقاية ضروري: الاستعلامات المعممة (prepared statements) هي الإصلاح الأساسي والموثوق — فهي تفصل بين رمز SQL والبيانات بحيث يتم التعامل مع إدخال المستخدم كقيمة حرفية لا يمكن أبداً تفسيرها كـ SQL، مما يجعل الحقن مستحيلاً.
هذا هو الدفاع الأول الذي يجب على كل مطور استخدامه.
فهم الدفاعات الإضافية — استخدام ORMs/query builders (التي تعمم، لكن لا تتجاوزها بالدمج الخام)، التحقق من صحة الإدخال كدفاع متعدد الطبقات (لكن ليس بديلاً للتعميم)، حسابات قاعدة البيانات ذات الصلاحيات الأقل، وتجنب الكشف عن أخطاء مفصلة — والقاعدة الذهبية بـ عدم دمج إدخال المستخدم في الاستعلامات يعكس وقاية شاملة.
لأن SQL injection هي ثغرة خطيرة وشائعة وكلاسيكية بعواقب وخيمة (خرق البيانات، فقدان البيانات، تجاوز المصادقة) وقابلة للوقاية بالكامل باستخدام الاستعلامات المعممة، وبما أن فهم كيفية عملها وكيفية منعها ضروري لأي مطور يعمل مع قواعس البيانات، فإن فهم SQL injection ووقايتها معرفة أمان أساسية وضرورية — ثغرة أساسية يجب فهمها والدفاع عنها، حيث أن الإصلاح البسيط والموثوق (الاستعلامات المعممة) معرفة حرجة تمنع واحدة من أخطر فئات الهجمات.