SQL injection è una vulnerabilità in cui un attaccante inserisce SQL dannoso attraverso input utente — manipolando query del database per rubare dati, aggirare l'autenticazione o danneggiare i dati. È una delle vulnerabilità web più pericolose e classiche, ma è prevenibile con tecniche appropriate.
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
query = ;
L'input dell'attaccante viene trattato come codice SQL piuttosto che come dato — consentendo loro di riscrivere la query (aggirare il login, scaricare tutti i dati, eliminare tabelle).
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]); // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
Le query parametrizzate (prepared statements) separano il codice SQL dai dati — l'input non può mai essere interpretato come SQL. Questa è la difesa primaria e affidabile.
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
Comprendere l'SQL injection e come prevenirla è essenziale perché è una delle vulnerabilità web più pericolose, classiche e comuni (parte della categoria OWASP injection), eppure completamente prevenibile, quindi è una conoscenza di sicurezza fondamentale per qualsiasi sviluppatore che lavora con database.
Comprendere come funziona — che concatenare direttamente l'input utente nelle query SQL consente a un attaccante di iniettare codice SQL (il loro input viene trattato come codice piuttosto che come dato), consentendo loro di aggirare l'autenticazione (' OR '1'='1), scaricare tutti i dati o persino eliminare tabelle ('; DROP TABLE) — è necessario per riconoscere ed evitare la vulnerabilità.
L'SQL injection può essere catastrofica (violazione completa dei dati, distruzione dei dati, aggiramento dell'autenticazione), rendendola criticamente importante.
Comprendere la prevenzione è essenziale: le query parametrizzate (prepared statements) sono la soluzione primaria e affidabile — separano il codice SQL dai dati in modo che l'input utente venga trattato come un valore letterale che non può mai essere interpretato come SQL, rendendo l'iniezione impossibile.
Questa è la #1 difesa che ogni sviluppatore deve utilizzare.
Comprendere le difese aggiuntive — usare ORM/query builder (che parametrizzano, ma non aggirandoli con concatenazione grezza), convalida dell'input come difesa in profondità (ma non come sostituto della parametrizzazione), account di database con minimo privilegio ed evitare l'esposizione di errori dettagliati — e la regola cardinale di non concatenare mai l'input utente nelle query riflette una prevenzione completa.
Poiché l'SQL injection è una vulnerabilità pericolosa, comune e classica con conseguenze gravi (violazione dei dati, perdita di dati, aggiramento dell'autenticazione) che è completamente prevenibile con query parametrizzate, e poiché comprendere come funziona e come prevenirla è essenziale per qualsiasi sviluppatore che lavora con database, comprendere l'SQL injection e la sua prevenzione è una conoscenza di sicurezza essenziale e fondamentale — una vulnerabilità fondamentale da comprendere e contro cui difendersi, dove la soluzione semplice e affidabile (query parametrizzate) è una conoscenza critica che previene una delle classi di attacchi più dannose.