SQL ইনজেকশন কী এবং আপনি এটি কীভাবে প্রতিরোধ করবেন?

Question

Accepted Answer

**SQL ইনজেকশন** একটি দুর্বলতা যেখানে একজন আক্রমণকারী ব্যবহারকারীর ইনপুটের মাধ্যমে ক্ষতিকারক SQL সন্নিবেশ করায় — ডাটাবেস কোয়েরি পরিচালনা করে ডেটা চুরি করতে, প্রমাণীকরণ বাইপাস করতে বা ডেটা ক্ষতিগ্রস্ত করতে। এটি সবচেয়ে বিপজ্জনক এবং ক্লাসিক ওয়েব দুর্বলতাগুলির মধ্যে একটি, কিন্তু সঠিক কৌশলগুলির সাথে প্রতিরোধযোগ্য।

## SQL ইনজেকশন কীভাবে কাজ করে

```text
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
```

```js
// ❌ VULNERABLE — user input concatenated into the query
const query = `SELECT * FROM users WHERE email = '${userInput}'`;
// attacker enters:  ' OR '1'='1
// → SELECT * FROM users WHERE email = '' OR '1'='1'   → returns ALL users!
// or:  '; DROP TABLE users; --   → could delete the table
```

আক্রমণকারীর ইনপুটকে **SQL কোড** হিসাবে বিবেচনা করা হয় ডেটার বদলে — তাদের কোয়েরি পুনর্লেখন করতে দেয় (লগইন বাইপাস করুন, সমস্ত ডেটা ডাম্প করুন, টেবিল মুছে ফেলুন)।

## প্রতিরোধ: প্যারামিটারাইজড কোয়েরি (প্রধান সমাধান)

```js
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]);     // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
```

**প্যারামিটারাইজড কোয়েরি (প্রিপেয়ার্ড স্টেটমেন্ট)** SQL কোড থেকে ডেটা আলাদা করে — ইনপুট কখনও SQL হিসাবে ব্যাখ্যা করা যায় না। এটি প্রাথমিক, নির্ভরযোগ্য প্রতিরক্ষা।

## অতিরিক্ত প্রতিরক্ষা

```text
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
  string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
  parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
```

## কেন এটি গুরুত্বপূর্ণ

SQL ইনজেকশন এবং এটি কীভাবে প্রতিরোধ করা যায় তা বোঝা অপরিহার্য কারণ এটি **সবচেয়ে বিপজ্জনক, ক্লাসিক এবং সাধারণ ওয়েব দুর্বলতা** (OWASP ইনজেকশন বিভাগের অংশ), তবুও সম্পূর্ণভাবে প্রতিরোধযোগ্য, তাই এটি ডাটাবেসের সাথে কাজ করা যেকোনো ডেভেলপারের জন্য অবশ্য জানা নিরাপত্তা জ্ঞান।

**এটি কীভাবে কাজ করে** তা বোঝা — যে ব্যবহারকারীর ইনপুট সরাসরি SQL কোয়েরিতে সংযুক্ত করা একজন আক্রমণকারীকে **SQL কোড ইনজেক্ট** করতে দেয় (তাদের ইনপুট কোড হিসাবে ডেটার পরিবর্তে গণ্য করা হয়), তাদের প্রমাণীকরণ বাইপাস করতে সক্ষম করে (`' OR '1'='1`), সমস্ত ডেটা ডাম্প করে বা এমনকি টেবিল মুছে ফেলে (`'; DROP TABLE`) — দুর্বলতা স্বীকৃতি এবং এড়ানোর জন্য প্রয়োজনীয়।

SQL ইনজেকশন বিপর্যয়কর হতে পারে (সম্পূর্ণ ডেটা লঙ্ঘন, ডেটা ধ্বংস, প্রমাণীকরণ বাইপাস), এটি সমালোচনামূলকভাবে গুরুত্বপূর্ণ করে তোলে।

**প্রতিরোধ** বোঝা অপরিহার্য: **প্যারামিটারাইজড কোয়েরি (প্রিপেয়ার্ড স্টেটমেন্ট)** প্রাথমিক, নির্ভরযোগ্য সমাধান — তারা **SQL কোড থেকে ডেটা আলাদা করে** যাতে ব্যবহারকারীর ইনপুট একটি আক্ষরিক মান হিসাবে বিবেচনা করা হয় যা কখনও SQL হিসাবে ব্যাখ্যা করা যায় না, ইনজেকশন অসম্ভব করে।

এটি প্রতিটি ডেভেলপার অবশ্যই ব্যবহার করা আবশ্যক প্রতিরক্ষা।

**অতিরিক্ত প্রতিরক্ষা** বোঝা — ORM/কোয়েরি বিল্ডার ব্যবহার করা (যা প্যারামিটারাইজ করে, কিন্তু কাঁচা সংযুক্তি দিয়ে বাইপাস না করে), ইনপুট ভ্যালিডেশন গভীরতা-প্রতিরক্ষা হিসাবে (কিন্তু প্যারামিটারাইজেশনের বিকল্প নয়), সর্বনিম্ন-প্রিভিলেজ ডাটাবেস অ্যাকাউন্ট এবং বিস্তারিত ত্রুটি এক্সপোজার এড়ানো — এবং **কোয়েরিতে ব্যবহারকারীর ইনপুট কখনও সংযুক্ত না করার** মূল নীতি ব্যাপক প্রতিরোধ প্রতিফলিত করে।

সাইটে SQL ইনজেকশন একটি বিপজ্জনক, সাধারণ এবং ক্লাসিক দুর্বলতা গুরুতর পরিণতি সহ (ডেটা লঙ্ঘন, ডেটা হ্রাস, প্রমাণীকরণ বাইপাস) যা প্যারামিটারাইজড কোয়েরি সহ সম্পূর্ণভাবে প্রতিরোধযোগ্য, এবং এটি কীভাবে কাজ করে এবং এটি প্রতিরোধ করতে হয় তা বোঝা ডাটাবেসের সাথে কাজ করা যেকোনো ডেভেলপারের জন্য অপরিহার্য, SQL ইনজেকশন এবং এর প্রতিরোধ বোঝা অপরিহার্য, অবশ্য জানা নিরাপত্তা জ্ঞান — একটি মৌলিক দুর্বলতা বোঝা এবং প্রতিরক্ষা করা, যেখানে সহজ, নির্ভরযোগ্য সমাধান (প্যারামিটারাইজড কোয়েরি) সমালোচনামূলক জ্ঞান যা আক্রমণের সবচেয়ে ক্ষতিকারক ক্লাসগুলির একটি প্রতিরোধ করে।