SQL-injection er en sårbarhed, hvor en angriber indsætter ondsindet SQL gennem brugerinput — manipulerer databaseforespørgsler for at stjæle data, omgå godkendelse eller beskadige data. Det er en af de mest farlige og klassiske webarangulariteter, men kan forebygges med rigtige teknikker.
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
query = ;
Angriberens input behandles som SQL-kode i stedet for data — hvilket giver dem mulighed for at omskrive forespørgslen (omgå login, dumpe alle data, slette tabeller).
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]); // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
Parameteriserede forespørgsler (forberedte statements) adskiller SQL-kode fra data — inputtet kan aldrig fortolkes som SQL. Dette er det primære, pålidelige forsvar.
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
At forstå SQL-injection og hvordan man forhindrer det, er væsentligt, fordi det er en af de mest farlige, klassiske og almindelige webarangulariteter (del af OWASP-injektionskategorien), men helt og holdent kan forebygges, så det er vigtig sikkerhedsviden, som enhver udvikler, der arbejder med databaser, skal kende.
At forstå hvordan det fungerer — at konkatenering af brugerinput direkte ind i SQL-forespørgsler giver en angriber mulighed for at indsætte SQL-kode (deres input behandles som kode i stedet for data), hvilket gør det muligt at omgå godkendelse (' OR '1'='1), dumpe alle data eller endda slette tabeller ('; DROP TABLE) — er nødvendigt for at genkende og undgå sårbarheden.
SQL-injection kan være katastrofal (fuldstændig databrud, datadestruktion, godkendelsesBypass), hvilket gør det kritisk vigtig.
At forstå forebyggelsen er væsentligt: parameteriserede forespørgsler (forberedte statements) er det primære, pålidelige forsvar — de adskiller SQL-kode fra data, så brugerinput behandles som en bogstavelig værdi, der aldrig kan fortolkes som SQL, hvilket gør injection umulig.
Dette er det vigtigste forsvar, som enhver udvikler skal bruge.
At forstå de yderligere forsvar — at bruge ORMs/query-builders (som parameteriserer, men ikke omgår dem med rå konkatenering), inputvalidering som forsvar i dybden (men ikke som erstatning for parameterisering), mindste-rettigheds-databasekonti og undgå detaljeret fejleksponering — og kardinalreglen om aldrig at konkatenere brugerinput i forespørgsler afspejler omfattende forebyggelse.
Da SQL-injection er en farlig, almindelig og klassisk sårbarhed med alvorlige konsekvenser (databrud, datatab, godkendelsesBypass), der helt og holdent kan forebygges med parameteriserede forespørgsler, og da det at forstå hvordan det fungerer og hvordan man forhindrer det, er væsentligt for enhver udvikler, der arbejder med databaser, er forståelse af SQL-injection og dets forebyggelse vigtig, vigtig sikkerhedsviden — en fundamental sårbarhed at forstå og forsvare sig mod, hvor det enkle, pålidelige forsvar (parameteriserede forespørgsler) er kritisk viden, der forhindrer en af de mest skadelige klasser af angreb.