SQL-injektio on haavoittuvuus, jossa hyökkääjä syöttää haitallista SQL-koodia käyttäjän syötteen kautta — manipuloimalla tietokantakyselyitä tietojen varastamiseksi, todentamisen kiertämiseksi tai tietojen vahingoittamiseksi. Se on yksi vaarallisimmista ja klassisimmista web-haavoittuvuuksista, mutta se on estettävissä asianmukaisten tekniikoiden avulla.
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
query = ;
Hyökkääjän syöte käsitellään SQL-koodina tiedon sijaan — antaen heille mahdollisuuden kirjoittaa kysely uudelleen (kiertää kirjautuminen, kaataa kaikki tiedot, poistaa taulukot).
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]); // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
Parametroidut kyselyt (valmistetut lauseet) erottavat SQL-koodin tiedosta — syöte ei voi koskaan tulkita SQL-koodiksi. Tämä on ensisijainen, luotettava puolustus.
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
SQL-injektion ymmärtäminen ja sen ehkäisy on olennaista, koska se on yksi vaarallisimmista, klassisimmista ja yleisimmistä web-haavoittuvuuksista (osa OWASP-injektio-kategoriaa), ja silti täysin estettävissä, joten se on välttämätöntä tietoa kaikille tietokantoja käsitteleville kehittäjille.
Ymmärtäminen kuinka se toimii — että käyttäjän syötteen suora yhdistäminen SQL-kyselyihin antaa hyökkääjälle mahdollisuuden injektoida SQL-koodia (heidän syötteensä käsitellään koodina datan sijaan), mikä mahdollistaa todentamisen kiertämisen (' OR '1'='1'), kaikkien tietojen kaatamisen tai jopa taulukoiden poistamisen ('; DROP TABLE) — on välttämätöntä haavoittuvuuden tunnistamiseen ja välttämiseen.
SQL-injektio voi olla katastrofaalista (täydellinen tietomurto, tietojen hävitys, todentamisen kiertäminen), mikä tekee siitä kriittisen tärkeää.
Ymmärtäminen ehkäisystä on olennaista: parametroidut kyselyt (valmistetut lauseet) ovat ensisijainen, luotettava ratkaisu — ne erottavat SQL-koodin tiedosta, joten käyttäjän syöte käsitellään kirjaimellisena arvona, jota ei voi koskaan tulkita SQL-koodiksi, mikä tekee injektioista mahdottoman.
Tämä on #1 puolustus, jota jokaisen kehittäjän on käytettävä.
Ymmärtäminen muista puolustuskeinoista — ORM-työkalujen/kyselyjen rakentajien käyttö (jotka parametroivat, mutta ei kiertäminen raakalla yhdistämisellä), syötteen validointi syvemmän puolustuksen vuoksi (mutta ei korvike parametroinnille), vähimmän oikeuden tietokantatilit ja yksityiskohtaisen virheeksposuurin välttäminen — ja perus sääntö että käyttäjän syöte ei koskaan yhdistetä kyselyihin — heijastaa kattavaa ehkäisyä.
Koska SQL-injektio on vaarallinen, yleinen ja klassinen haavoittuvuus, jolla on vakavat seuraukset (tietomurto, tietojen menetys, auth-kiertäminen) ja se on täysin estettävissä parametroiduilla kyselyillä, ja koska sen toimintamekanismin ja ehkäisyn ymmärtäminen on olennaista kaikille tietokantoja käsitteleville kehittäjille, SQL-injektion ja sen ehkäisyn ymmärtäminen on olennaista, välttämätöntä turvatietoa — perustavanlaatuinen haavoittuvuus, jota on ymmärrettävä ja puolustettava, jossa yksinkertainen, luotettava ratkaisu (parametroidut kyselyt) on kriittinen tieto, joka estää yhden vaarallisimmista hyökkäysluokista.