Cad is insteallúchán SQL ann agus conas a bhíonn tú i do dhíon ó?

Question

Accepted Answer

**Insteallúchán SQL** ná leochaileacht inar chuireann ionsaitheoir SQL droichealach isteach trí ionchur úsáideora — rud a bhíonn ag solathar fiosrúcháin bunachar sonraí chun sonraí a bhaint, fíorú a shéanadh, nó damáiste a dhéanamh do shonraí. Is ceann de na leochaileachtaí gréine is fearr is clasaiceach ar an bhfreagra, ach is féidir a chosc le teicníocha cuí.

## Conas a oibríonn insteallúchán SQL

```text
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
```

```js
// ❌ VULNERABLE — user input concatenated into the query
const query = `SELECT * FROM users WHERE email = '${userInput}'`;
// attacker enters:  ' OR '1'='1
// → SELECT * FROM users WHERE email = '' OR '1'='1'   → returns ALL users!
// or:  '; DROP TABLE users; --   → could delete the table
```

Tá ionchur an ionsaitheora i bhformhéad mar **chód SQL** in ionad sonraí — rud a ligeann dóibh an fiosrúchán a athscríobh (fíorú a shéanadh, gach sonraí a dhump, táblaí a scriosadh).

## Cosaint: fiosrúcháin pharaiméadrúla (an príomhfheidhm)

```js
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]);     // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
```

**Fiosrúcháin pharaiméadrúla (ráiteas ullmhaithe)** scarann chód SQL ó shonraí — ní féidir an ionchur a léirmhíniú mar SQL go deo. Is í seo an príomhdhifear, an cosaint iomaíochta.

## Cosaintí breise

```text
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
  string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
  parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
```

## Cén fáth a bhíonn sé tábhachtach

Tá tuiscint ar insteallúchán SQL agus ar conas a bhíonn tú i do dhíon ó riachtanach toisc gur ceann de na leochaileachtaí gréine is clasaiceach is coitianta ar an bhfreagra (**cuid den chatagóir insteallúchán OWASP**) atá ann, ach go hiomlán intuigthe, agus mar sin is eolas slándála riachtanach do aon fhorbróir ag obair le bunachair sonraí.

Tuiscint ar **conas a oibríonn sé** — gur fhéadann an ionchur úsáideora a chur go díreach isteach i fiosrúcháin SQL ligint don ionsaitheoir **chód SQL a chur isteach** (a ionchur i bhformhéad mar chód seachas sonraí), rud a ligint dóibh fíorú a shéanadh (`' OR '1'='1`), gach sonraí a dhump, nó fiú táblaí a scriosadh (`'; DROP TABLE`) — is gá a thuiscint chun an leochaileacht a aithint agus a sheachaint.

Is féidir le insteallúchán SQL a bheith tubaisteach (briseadh sonraí iomlán, scriosadh sonraí, fíorú a shéanadh), agus mar sin tá sé ríthábhachtach.

Tuiscint ar an **chosaint** is riachtanach: **fiosrúcháin pharaiméadrúla (ráiteas ullmhaithe)** an príomhchóir — **scarann siad chód SQL ó shonraí** ionas go mbítear ag déileáil le ionchur úsáideora mar luach litriúil nach féidir a léirmhíniú mar SQL go deo, agus mar sin is féidir insteallúchán a sheachaint.

Is í seo an #1 chosaint ar cheart do gach forbróir a úsáid.

Tuiscint ar na **cosaintí breise** — ORMs/tógálaí fiosrúcháin a úsáid (a bhíonn ag paraiméadrúchán, ach gan iad a fhágáil ar an leataobh trí choncatánú amh), bailíochtú ionchuir mar dhíon-indéine (ach ní ionadaí dó pharaiméadrúchán), cuntas bunachar sonraí le deis ar a laghad, agus easpa fhiosrúcháin fhorleathan a nochtadh — agus an riail cardinal chun **gan ionchur úsáideora a chur i gcomhcheangal i bhfiosrúcháin go deo** — is léiriú ar chosaint iomlán.

Toisc gur leochaileacht dhainséarach, choitianta, agus chlasaiceach atá ann insteallúchán SQL le torthaí tubaisteacha (briseadh sonraí, caillteanas sonraí, fíorú a shéanadh) atá go hiomlán intuigthe le fiosrúcháin pharaiméadrúla, agus toisc go bhfuil tuiscint ar conas a oibríonn sé agus ar conas a bhíonn tú i do dhíon ó riachtanach do aon fhorbróir ag obair le bunachair sonraí, is eolas slándála riachtanach, ní mór a bheith ar eolas ann — leochaileacht bhunúsach a thuiscint agus a dhíon ó, áit ar bhreá an chosc shimplí, iomaíochta (fiosrúcháin pharaiméadrúla) eolas riachtanach atá ina dhídíon in aghaidh cheann de na ranganna ionsaithe is damáiste.