SQL injection ialah kerentanan di mana penyerang menyisipkan SQL berniat jahat melalui input pengguna — memanipulasi pertanyaan pangkalan data untuk mencuri data, memintas pengesahan, atau merosakkan data. Ia adalah salah satu kerentanan web yang paling berbahaya dan klasik, tetapi boleh dicegah dengan teknik yang betul.
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
query = ;
Input penyerang dianggap sebagai kod SQL dan bukannya data — membenarkan mereka menulis semula pertanyaan (memintas log masuk, mengeluarkan semua data, memadam jadual).
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]); // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
Parameterized queries (prepared statements) memisahkan kod SQL daripada data — input tidak akan dapat ditafsirkan sebagai SQL. Ini adalah pertahanan utama yang boleh dipercayai.
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
Memahami SQL injection dan cara mencegahnya adalah penting kerana ia merupakan salah satu kerentanan web yang paling berbahaya, klasik, dan biasa (sebahagian daripada kategori injection OWASP), namun boleh dicegah sepenuhnya, jadi ia adalah pengetahuan keselamatan yang mesti diketahui bagi mana-mana pembangun yang bekerja dengan pangkalan data.
Memahami cara ia berfungsi — bahawa menggabungkan input pengguna terus ke dalam pertanyaan SQL membenarkan penyerang menyuntik kod SQL (input mereka dianggap sebagai kod dan bukan data), membolehkan mereka memintas pengesahan (' OR '1'='1), mengeluarkan semua data, atau bahkan memadam jadual ('; DROP TABLE) — adalah perlu untuk mengenali dan mengelakkan kerentanan ini.
SQL injection boleh menjadi bencana (pelanggaran data sepenuhnya, kemusnahan data, pemintasan pengesahan), menjadikannya sangat penting.
Memahami pencegahan adalah penting: parameterized queries (prepared statements) ialah pembetulan utama yang boleh dipercayai — ia memisahkan kod SQL daripada data supaya input pengguna dianggap sebagai nilai literal yang tidak akan dapat ditafsirkan sebagai SQL, menjadikan injection mustahil.
Ini ialah pertahanan #1 yang setiap pembangun mesti gunakan.
Memahami pertahanan tambahan — menggunakan ORM/query builder (yang melakukan parameterisasi, tetapi tidak memintasnya dengan penggabungan mentah), pengesahan input sebagai pertahanan berlapis (tetapi bukan ganti untuk parameterisasi), akaun pangkalan data keistimewaan paling rendah, dan mengelakkan pendedahan ralat terperinci — dan peraturan kardinal untuk tidak sekali-kali menggabungkan input pengguna ke dalam pertanyaan mencerminkan pencegahan yang menyeluruh.
Memandangkan SQL injection ialah kerentanan yang berbahaya, biasa, dan klasik dengan akibat teruk (pelanggaran data, kehilangan data, pemintasan auth) yang boleh dicegah sepenuhnya dengan parameterized queries, dan memandangkan memahami cara ia berfungsi dan cara mencegahnya adalah penting bagi mana-mana pembangun yang bekerja dengan pangkalan data, memahami SQL injection dan pencegahannya ialah pengetahuan keselamatan yang penting dan mesti diketahui — kerentanan asas untuk difahami dan dipertahankan, di mana pembetulan yang mudah dan boleh dipercayai (parameterized queries) ialah pengetahuan kritikal yang mencegah salah satu kelas serangan yang paling memudaratkan.