SQL injection είναι μια ευπάθεια όπου ένας επιτιθέμενος εισάγει κακόβουλο SQL μέσω δεδομένων από τον χρήστη — χειραγωγώντας ερωτήματα βάσης δεδομένων για να κλέψει δεδομένα, να παρακάμψει την ταυτοποίηση ή να καταστρέψει δεδομένα. Είναι μια από τις πιο επικίνδυνες και κλασικές ευπάθειες ιστού, αλλά είναι αποτρέψιμη με σωστές τεχνικές.
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
query = ;
Τα δεδομένα του επιτιθέμενου αντιμετωπίζονται ως κώδικας SQL παρά ως δεδομένα — επιτρέποντας τους να ξαναγράψουν το ερώτημα (παράκαμψη σύνδεσης, εξαγωγή όλων των δεδομένων, διαγραφή πινάκων).
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]); // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
Parameterized queries (prepared statements) χωρίζουν τον κώδικα SQL από τα δεδομένα — τα δεδομένα εισόδου δεν μπορούν ποτέ να ερμηνευθούν ως SQL. Αυτή είναι η πρωταρχική, αξιόπιστη άμυνα.
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
Η κατανόηση του SQL injection και του τρόπου πρόληψής του είναι απαραίτητη επειδή είναι μια από τις πιο επικίνδυνες, κλασικές και συνηθισμένες ευπάθειες ιστού (μέρος της κατηγορίας OWASP injection), αλλά εντελώς αποτρέψιμη, επομένως είναι απαραίτητη γνώση ασφάλειας για κάθε προγραμματιστή που εργάζεται με βάσεις δεδομένων.
Η κατανόηση πώς λειτουργεί — ότι η συνένωση δεδομένων εισόδου του χρήστη απευθείας στα ερωτήματα SQL επιτρέπει σε έναν επιτιθέμενο να εισάγει κώδικα SQL (τα δεδομένα του αντιμετωπίζονται ως κώδικας παρά ως δεδομένα), επιτρέποντάς του να παρακάμψει την ταυτοποίηση (' OR '1'='1), να εξαγάγει όλα τα δεδομένα ή ακόμη και να διαγράψει πίνακες ('; DROP TABLE) — είναι απαραίτητη για να αναγνωρίσει και να αποφύγει την ευπάθεια.
Το SQL injection μπορεί να είναι καταστροφικό (πλήρης παραβίαση δεδομένων, καταστροφή δεδομένων, παράκαμψη ταυτοποίησης), καθιστώντας το κριτικής σημασίας.
Η κατανόηση της πρόληψης είναι απαραίτητη: parameterized queries (prepared statements) είναι η πρωταρχική, αξιόπιστη διόρθωση — χωρίζουν τον κώδικα SQL από τα δεδομένα, έτσι τα δεδομένα εισόδου του χρήστη αντιμετωπίζονται ως κυριολεκτική τιμή που δεν μπορεί ποτέ να ερμηνευθεί ως SQL, καθιστώντας την εισαγωγή αδύνατη.
Αυτή είναι η άμυνα #1 που πρέπει να χρησιμοποιεί κάθε προγραμματιστής.
Η κατανόηση των πρόσθετων αμυνών — χρησιμοποίηση ORMs/query builders (που parameterize, αλλά όχι παράκαμψή τους με ακατέργαστη συνένωση), επικύρωση δεδομένων εισόδου ως άμυνα σε βάθος (αλλά όχι ως υποκατάστατο της parameterization), λογαριασμοί βάσης δεδομένων με ελάχιστα δικαιώματα, και αποφυγή λεπτομερούς έκθεσης σφαλμάτων — και ο κανόνας απαγόρευσης να ποτέ δεν συνενώνονται δεδομένα εισόδου του χρήστη στα ερωτήματα αντανακλά ολοκληρωμένη πρόληψη.
Επειδή το SQL injection είναι μια επικίνδυνη, συνηθισμένη και κλασική ευπάθεια με σοβαρές συνέπειες (παραβίαση δεδομένων, απώλεια δεδομένων, παράκαμψη ταυτοποίησης) που είναι εντελώς αποτρέψιμη με parameterized queries, και επειδή η κατανόηση του τρόπου λειτουργίας και της πρόληψής του είναι απαραίτητη για κάθε προγραμματιστή που εργάζεται με βάσεις δεδομένων, η κατανόηση του SQL injection και της πρόληψής του είναι απαραίτητη, απαραίτητη γνώση ασφάλειας — μια θεμελιώδης ευπάθεια που πρέπει να κατανοηθεί και να αντιμετωπιστεί, όπου η απλή, αξιόπιστη διόρθωση (parameterized queries) είναι κρίσιμη γνώση που αποτρέπει μια από τις πιο καταστροφικές κατηγορίες επιθέσεων.