SQL injection एक कमज़ोरी है जहाँ एक हमलावर उपयोगकर्ता इनपुट के माध्यम से दुर्भावनापूर्ण SQL डालता है — डेटा चुराने, ऑथेंटिकेशन को बायपास करने, या डेटा को नुकसान पहुँचाने के लिए डेटाबेस क्वेरीज़ में हेरफेर करता है। यह सबसे खतरनाक और क्लासिक वेब कमज़ोरियों में से एक है, लेकिन उचित तकनीकों के साथ रोकी जा सकती है।
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
query = ;
हमलावर के इनपुट को डेटा के बजाय SQL कोड के रूप में माना जाता है — जिससे वे क्वेरी को फिर से लिख सकते हैं (लॉगिन बायपास करें, सारा डेटा डंप करें, टेबल हटाएँ)।
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]); // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
Parameterized queries (prepared statements) SQL कोड को डेटा से अलग करती हैं — इनपुट को कभी SQL के रूप में व्याख्यायित नहीं किया जा सकता। यह प्राथमिक, विश्वसनीय बचाव है।
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
SQL injection और इसे कैसे रोकें यह समझना आवश्यक है क्योंकि यह सबसे खतरनाक, क्लासिक, और सामान्य वेब कमज़ोरियों में से एक है (OWASP injection श्रेणी का हिस्सा), फिर भी पूरी तरह से रोकी जा सकती है, इसलिए यह डेटाबेस के साथ काम करने वाले किसी भी डेवलपर के लिए ज़रूर जानने योग्य सुरक्षा ज्ञान है।
यह कैसे काम करता है यह समझना — कि उपयोगकर्ता इनपुट को सीधे SQL क्वेरीज़ में concatenate करना एक हमलावर को SQL कोड inject करने देता है (उनके इनपुट को डेटा के बजाय कोड के रूप में माना जाता है), जिससे वे ऑथेंटिकेशन बायपास कर सकते हैं (' OR '1'='1), सारा डेटा डंप कर सकते हैं, या यहाँ तक कि टेबल हटा सकते हैं ('; DROP TABLE) — कमज़ोरी को पहचानने और उससे बचने के लिए आवश्यक है।
SQL injection विनाशकारी हो सकता है (पूर्ण डेटा उल्लंघन, डेटा विनाश, ऑथेंटिकेशन बायपास), जिससे यह अत्यंत महत्वपूर्ण बन जाता है।
रोकथाम को समझना आवश्यक है: parameterized queries (prepared statements) प्राथमिक, विश्वसनीय समाधान हैं — वे SQL कोड को डेटा से अलग करते हैं ताकि उपयोगकर्ता इनपुट को एक लिटरल मान के रूप में माना जाए जिसे कभी SQL के रूप में व्याख्यायित नहीं किया जा सकता, जिससे injection असंभव हो जाता है।
यह #1 बचाव है जिसका हर डेवलपर को उपयोग करना चाहिए।
अतिरिक्त बचावों को समझना — ORMs/query builders का उपयोग (जो parameterize करते हैं, लेकिन उन्हें raw concatenation से बायपास न करते हुए), defense-in-depth के रूप में इनपुट वैलिडेशन (लेकिन parameterization का विकल्प नहीं), least-privilege डेटाबेस अकाउंट्स, और विस्तृत त्रुटि एक्सपोज़र से बचना — और मूल नियम उपयोगकर्ता इनपुट को कभी क्वेरीज़ में concatenate न करें व्यापक रोकथाम को दर्शाता है।
चूँकि SQL injection एक खतरनाक, सामान्य, और क्लासिक कमज़ोरी है जिसके गंभीर परिणाम हैं (डेटा उल्लंघन, डेटा हानि, auth बायपास) जो parameterized queries के साथ पूरी तरह से रोकी जा सकती है, और चूँकि यह समझना कि यह कैसे काम करता है और इसे कैसे रोकें डेटाबेस के साथ काम करने वाले किसी भी डेवलपर के लिए आवश्यक है, SQL injection और इसकी रोकथाम को समझना आवश्यक, ज़रूर जानने योग्य सुरक्षा ज्ञान है — समझने और बचाव करने योग्य एक मौलिक कमज़ोरी, जहाँ सरल, विश्वसनीय समाधान (parameterized queries) एक महत्वपूर्ण ज्ञान है जो हमलों के सबसे हानिकारक वर्गों में से एक को रोकता है।