SQL injection egy sebezhetőség, amelyben egy támadó rosszindulatú SQL-t szúr be felhasználói bemenetenként — manipulálva az adatbázis-lekérdezéseket az adatok ellopásához, a hitelesítés megkerüléséhez vagy az adatok megsemmisítéséhez. Ez az egyik legelőforduló és klasszikus webes sebezhetőség, de megfelelő technikákkal megelőzhető.
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
query = ;
A támadó bemenetét SQL kódként kezelik az adatok helyett — lehetővé téve számára a lekérdezés átírását (bejelentkezés megkerülése, összes adat ellopása, táblák törlése).
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]); // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
A paraméterezett lekérdezések (prepared statements) szétválasztják az SQL kódot az adatoktól — a bemenet soha nem értelmezhető SQL kódként. Ez az elsődleges, megbízható védelem.
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
Az SQL injection megértése és megelőzése kritikus fontosságú, mivel az egyik legveszélyesebb, klasszikus és leggyakoribb webes sebezhetőség (az OWASP injection kategória része), ugyanakkor teljesen megelőzhető, ezért feltétlenül szükséges biztonsági ismeretek minden adatbázissal dolgozó fejlesztő számára.
Az működésének megértése — hogy a felhasználói bemenet közvetlen összefűzése az SQL lekérdezésekbe lehetővé teszi a támadónak SQL kód injektálását (a bemenete kódként, nem adatként értelmeződik), ami lehetővé teszi a hitelesítés megkerülését (' OR '1'='1'), összes adat ellopását vagy akár táblák törlését ('; DROP TABLE) — szükséges a sebezhetőség felismeréséhez és elkerüléséhez.
Az SQL injection katasztrofális lehet (teljes adatok szivárgása, adatok megsemmisülése, hitelesítés megkerülése), ezért kritikusan fontos.
A megelőzés megértése elengedhetetlen: a paraméterezett lekérdezések (prepared statements) az elsődleges, megbízható megoldás — szétválasztják az SQL kódot az adatoktól, így a felhasználói bemenet literális értékként kezelendő, amely soha nem értelmezhető SQL-ként, ezáltal az injektálás lehetetlen.
Ez az 1. számú védelem, amelyet minden fejlesztőnek alkalmaznia kell.
A kiegészítő védelmi megoldások megértése — ORM-ek/lekérdezésépítők használata (amelyek paramétereznek, de nem ezek megkerülése nyers összefűzéssel), bemenet-validáció többrétegű védelemként (de nem paraméterezés helyettesítőjeként), legkisebb jogosultságú adatbázis-fiókok, és részletes hibaüzenetek elkerülése — és a soha ne fűzz fel felhasználói bemenetet a lekérdezésekbe alapszabály átfogó megelőzést tükröz.
Mivel az SQL injection egy veszélyes, gyakori és klasszikus sebezhetőség súlyos következményekkel (adatszivárgás, adatvesztés, hitelesítés megkerülése), amely teljesen megelőzhető paraméterezett lekérdezésekkel, és mivel a működésének és megelőzésének megértése elengedhetetlen minden adatbázissal dolgozó fejlesztő számára, az SQL injection és megelőzésének megértése kritikus fontosságú, feltétlenül szükséges biztonsági ismeretek — egy alapvető sebezhetőség, amely ellen védekezni kell, ahol az egyszerű, megbízható megoldás (paraméterezett lekérdezések) kritikus ismeretek, amelyek megelőzik az egyik legsúlyosabb támadási osztály.