SQL injekcija yra saugumas, kai atakuotojas į vartotojo įvestį įterpia žalingą SQL — manipuliuoja duomenų bazės užklausomis, kad pavogus duomenis, apeitus autentifikaciją ar pažeistų duomenis. Tai viena iš pavojingiausių ir klasikinių interneto saugumo spragų, tačiau ji yra išvengiama naudojant tinkamas priemones.
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
query = ;
Atakuotojo įvestis yra traktuojama kaip SQL kodas, o ne duomenys — tai leidžia jiems perrašyti užklausą (apeiti prisijungimą, išduoti visus duomenis, ištrinti lenteles).
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]); // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
Parametrizuotos užklausos (paruošti pareiškimai) atskiria SQL kodą nuo duomenų — įvestis niekada negali būti interpretuojama kaip SQL. Tai yra pagrindinė, patikima apsauga.
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
Suprasti SQL injekciją ir kaip ją nuo jos apsaugotis yra itin svarbu, nes tai viena iš pavojingiausių, klasikinių ir dažniausiai sutinkamų interneto saugumo spragų (OWASP injekcijos kategorijos dalis), tačiau ji yra visiškai išvengiama, todėl tai yra būtinos saugumo žinios bet kuriam kūrėjui, dirbančiam su duomenų bazėmis.
Suprasti kaip ji veikia — kai vartotojo įvestis tiesioginiai sujungiama į SQL užklausas, atakuotojas gali injektuoti SQL kodą (jų įvestis traktuojama kaip kodas, o ne duomenys), leidžiant jiems apeiti autentifikaciją (' OR '1'='1'), išduoti visus duomenis arba net ištrinti lenteles ('; DROP TABLE) — yra būtina, norint atpažinti ir išvengti šios saugumo spragos.
SQL injekcija gali būti katastrofiška (visiškas duomenų nuotėkis, duomenų sunaikinimas, autentifikacijos apeitis), todėl ji yra itin svarbi.
Suprasti apsaugą yra labai svarbu: parametrizuotos užklausos (paruošti pareiškimai) yra pagrindinė, patikima apsauga — jos atskiria SQL kodą nuo duomenų, todėl vartotojo įvestis yra traktuojama kaip pasikartojanti vertė, kuri niekada negali būti interpretuojama kaip SQL, todėl injekcija yra neįmanoma.
Tai yra #1 apsauga, kurią turi naudoti kiekvienas kūrėjas.
Suprasti papildomą apsaugą — naudoti ORM/užklausų kūrėjus (kurie parametrizuoja, bet ne jų apleidimas naudojant tiesioginį sujungimą), įvesties patikrinimą kaip gyno-gynu apsaugą (bet ne parametrizacijos pakaitalą), mažiausios privilegijos duomenų bazės sąskaitas ir detalaus klaidos paaiškinimo išvengimą — ir pagrindinę taisyklę niekada nejungti vartotojo įvesties į užklausas atspindi visapusę apsaugą.
Kadangi SQL injekcija yra pavojinga, dažnai sutinkama ir klasikinė sauguma su rimtomis pasekmėmis (duomenų nuotėkis, duomenų praradimas, autentifikacijos apeitis), kuri yra visiškai išvengiama naudojant parametrizuotas užklausas, ir kadangi supratimas, kaip ji veikia ir kaip ją nuo jos apsaugotis, yra būtinas bet kuriam kūrėjui, dirbančiam su duomenų bazėmis, SQL injekcijos ir jos apsaugos supratimas yra neatsiejama, būtina saugumo žinija — pagrindinė sauguma, kurią reikia suprasti ir nuo kurios reikia apsiginti, kur paprasta, patikima apsauga (parametrizuotos užklausos) yra kritinė žinija, kuri nustumia vieną iš pavojingiausių atakų klasių.