SQL injection શું છે અને તમે તેને કેવી રીતે રોકો છો?

Question

Accepted Answer

**SQL injection** એક નુકસાન છે જ્યાં આક્રમણકારી વપરાશકર્તા ઇનપુટ દ્વારા દૂષિત SQL દાખલ કરે છે — ડેટાબેસ ક્વેરીને હેરફેર કરીને ડેટા ચોરવા, પ્રમાણીકરણને બાયપાસ કરવા, અથવા ડેટાને નુકસાન પહોંચાડવા માટે. તે સૌથી વધુ જોખમી અને શાસ્ત્રીય વેબ નુકસાનોમાંથી એક છે, પરંતુ યોગ્ય તકનીકો સાથે તેને રોકી શકાય છે.

## SQL injection કેવી રીતે કાર્ય કરે છે

```text
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
```

```js
// ❌ VULNERABLE — user input concatenated into the query
const query = `SELECT * FROM users WHERE email = '${userInput}'`;
// attacker enters:  ' OR '1'='1
// → SELECT * FROM users WHERE email = '' OR '1'='1'   → returns ALL users!
// or:  '; DROP TABLE users; --   → could delete the table
```

આક્રમણકારનો ઇનપુટ **SQL કોડ** તરીકે ગણવામાં આવે છે બદલે ડેટાના — તેમને ક્વેરીને ફરીથી લખવા દે છે (લોગિન બાયપાસ કરો, બધો ડેટા ડમ્પ કરો, ટેબલ્સ કાઢી નાખો).

## નિવારણ: પેરામેટરાઇઝ્ડ ક્વેરીઝ (મુખ્ય સુધાર)

```js
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]);     // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
```

**પેરામેટરાઇઝ્ડ ક્વેરીઝ (તૈયાર વિધાનો)** SQL કોડને ડેટાથી અલગ કરે છે — ઇનપુટ ક્યારેય SQL તરીકે અર્થઘટન કરી શકાતું નથી. આ પ્રાથમિક, વિશ્વસનીય બચાવ છે.

## વધારાના બચાવો

```text
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
  string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
  parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
```

## તે શા માટે મહત્વપૂર્ણ છે

SQL injection અને તેને રોકવાની રીત સમજવી આવશ્યક છે કારણ કે તે **સૌથી જોખમી, શાસ્ત્રીય, અને સામાન્ય વેબ નુકસાનોમાંથી એક છે** (OWASP ઇન્જેકશન શ્રેણીનો ભાગ), તેમ છતાં સંપૂર્ણપણે રોકી શકાય છે, તેથી તે કોઈપણ ડેટાબેસ સાથે કામ કરતા ડેવલપર માટે જરૂરી-જાણવું સુરક્ષા જ્ઞાન છે.

સમજવું **તે કેવી રીતે કાર્ય કરે છે** — કે વપરાશકર્તા ઇનપુટને SQL ક્વેરીમાં સીધું જોડવાથી આક્રમણકારને **SQL કોડ ઇન્જેક્ટ કરવા દે છે** (તેમનો ઇનપુટ ડેટા બદલે કોડ તરીકે ગણવામાં આવે છે), તેમને પ્રમાણીકરણને બાયપાસ કરવા દે છે (`' OR '1'='1`), બધો ડેટા ડમ્પ કરવો, અથવા તો ટેબલ્સ કાઢી નાખવા (`'; DROP TABLE`) — આ નુકસાનને ઓળખવા અને તેનાથી બચવા માટે જરૂરી છે.

SQL injection વિનાશક હોઈ શકે છે (સંપૂર્ણ ડેટા ઉલ્લંઘન, ડેટા નાશ, પ્રમાણીકરણ બાયપાસ), તેને ગંભીર રીતે મહત્વપૂર્ણ બનાવે છે.

સમજવું **નિવારણ** આવશ્યક છે: **પેરામેટરાઇઝ્ડ ક્વેરીઝ (તૈયાર વિધાનો)** પ્રાથમિક, વિશ્વસનીય સુધાર છે — તેઓ **SQL કોડને ડેટાથી અલગ કરે છે** તેથી વપરાશકર્તા ઇનપુટ શાબ્દિક મૂલ્ય તરીકે ગણવામાં આવે છે જે ક્યારેય SQL તરીકે અર્થઘટન કરી શકાતું નથી, ઇન્જેકશન અશક્ય બનાવે છે.

યે #1 બચાવ છે જે દરેક ડેવલપરે વાપરવો જોઈએ.

સમજવું **વધારાના બચાવો** — ORMs/query બિલ્ડર્સનો ઉપયોગ કરવો (જે પેરામેટરાઇઝ કરે છે, પરંતુ તેમને કાચી સંધાણથી બાયપાસ કર્યા વિના), ઇનપુટ ગુણવત્તા તપાસ તરીકે રક્ષણ-ગહનતા (પરંતુ પેરામેટરાઇઝેશનના સ્થાને નહીં), સર્વોચ્ચ-વિશેષાધિકાર ડેટાબેસ ખાતાઓ, અને વિગતવાર ભૂલ એક્સપોઝરનું પરિહાર — અને મુખ્ય નિયમ કે **ક્વેરીમાં વપરાશકર્તા ઇનપુટને ક્યારેય સંધાણ કરશો નહીં** વ્યાપક નિવારણ પ્રતિબિંબિત કરે છે.

જો SQL injection એક જોખમી, સામાન્ય, અને શાસ્ત્રીય નુકસાન છે ગંભીર પરિણામો સાથે (ડેટા ઉલ્લંઘન, ડેટા નુકસાન, પ્રમાણીકરણ બાયપાસ) જે સંપૂર્ણપણે પેરામેટરાઇઝ્ડ ક્વેરીઝ સાથે રોકી શકાય છે, અને જો તે કેવી રીતે કાર્ય કરે છે અને તેને કેવી રીતે રોકવું તે સમજવું દરેક ડેવલપર માટે આવશ્યક છે જે ડેટાબેસ સાથે કાર્ય કરે છે, તો SQL injection અને તેના નિવારણને સમજવું આવશ્યક, જરૂરી-જાણવું સુરક્ષા જ્ઞાન છે — એક મૌલિક નુકસાન જેને સમજવું અને તેનો બચાવ કરવો જોઈએ, જ્યાં સરળ, વિશ્વસનીય સુધાર (પેરામેટરાઇઝ્ડ ક્વેરીઝ) આવુ જ્ઞાન છે જે સૌથી નુકસાનકારક વર્ગોના હુમલાઓમાંથી એકને રોકે છે.