Co je SQL injection a jak ji zabránit?

Question

Accepted Answer

**SQL injection** je zranitelnost, kdy útočník vkládá zlomyslný SQL prostřednictvím uživatelského vstupu — manipuluje databázové dotazy, aby krádl data, obejít ověřování nebo poškodil data. Je to jedna z nejnebezpečnějších a klasických webových zranitelností, ale lze jí zabránit pomocí správných technik.

## Jak SQL injection funguje

```text
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
```

```js
// ❌ VULNERABLE — user input concatenated into the query
const query = `SELECT * FROM users WHERE email = '${userInput}'`;
// attacker enters:  ' OR '1'='1
// → SELECT * FROM users WHERE email = '' OR '1'='1'   → returns ALL users!
// or:  '; DROP TABLE users; --   → could delete the table
```

Vstup útočníka je zpracován jako **SQL kód** místo dat — umožňuje mu přepsat dotaz (obejít přihlášení, vypsat všechna data, smazat tabulky).

## Prevence: parametrizované dotazy (hlavní oprava)

```js
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]);     // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
```

**Parametrizované dotazy (prepared statements)** oddělují SQL kód od dat — vstup nikdy nemůže být interpretován jako SQL. Toto je primární, spolehlivá obrana.

## Dodatečné obrany

```text
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
  string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
  parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
```

## Proč na to záleží

Chápat SQL injection a jak jí zabránit je nezbytné, protože je to **jedna z nejnebezpečnějších, nejklasičtějších a nejčastějších webových zranitelností** (součást kategorie OWASP injection), přesto je zcela předejitelná, takže jde o nezbytné bezpečnostní znalosti pro každého vývojáře pracujícího s databázemi.

Chápat **jak funguje** — že zřetězování uživatelského vstupu přímo do SQL dotazů umožňuje útočníkovi **vložit SQL kód** (jejich vstup je zpracován jako kód místo dat), což mu umožňuje obejít ověřování (`' OR '1'='1`), vypsat všechna data nebo dokonce smazat tabulky (`'; DROP TABLE`) — je nezbytné pro rozpoznání a vyhnutí se zranitelnosti.

SQL injection může být katastrofální (úplné úniku dat, destrukce dat, obejití ověřování), což ji činí kriticky důležitou.

Chápat **prevenci** je nezbytné: **parametrizované dotazy (prepared statements)** jsou primární, spolehlivou opravou — **oddělují SQL kód od dat**, takže uživatelský vstup je zpracován jako doslova hodnota, která nikdy nemůže být interpretována jako SQL, což injection znemožňuje.

Toto je obrana #1, kterou musí používat každý vývojář.

Chápat **dodatečné obrany** — používání ORM/query builders (které parametrizují, ale ne jejich obcházení surým zřetězením), validaci vstupu jako obranu do hloubky (ale ne jako náhradu za parametrizaci), účty databází s nejnižšími oprávněními a vyhýbání se detailnímu odhalení chyb — a základní pravidlo **nikdy nezřetězovat uživatelský vstup do dotazů** — odráží komplexní prevenci.

Protože SQL injection je nebezpečná, časté a klasické zranitelnost se závažnými následky (úniky dat, ztráta dat, obejití auth), která je zcela předejitelná parametrizovanými dotazy, a protože chápat, jak funguje a jak ji zabránit, je nezbytné pro každého vývojáře pracujícího s databázemi, je chápání SQL injection a její prevence nezbytné, nezbytné bezpečnostní znalosti — fundamentální zranitelnost, kterou je třeba chápat a bránit se jí, kde je jednoduché, spolehlivé řešení (parametrizované dotazy) kritickým vědomím, které zabraňuje jedné z nejnebezpečnějších tříd útoků.