SQL injection भनेको के हो र तपाई यसलाई कसरी रोक्न सक्नुहुन्छ?

Question

Accepted Answer

**SQL injection** एक असुरक्षा हो जहाँ आक्रमणकारीले प्रयोगकर्ता इनपुटको माध्यमबाट हानिकारक SQL घुसाउँछन् — डेटाबेस क्वेरीहरूलाई हेरफेर गरी डेटा चोरी गर्न, प्रमाणीकरण बाइपास गर्न, वा डेटा क्षति गर्न। यो सबैभन्दा खतरनाक र क्लासिक वेब असुरक्षाहरूमध्ये एक हो, तर उचित प्रविधिहरूसँग रोकथाम गर्न सकिन्छ।

## SQL injection कसरी काम गर्छ

```text
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
```

```js
// ❌ VULNERABLE — user input concatenated into the query
const query = `SELECT * FROM users WHERE email = '${userInput}'`;
// attacker enters:  ' OR '1'='1
// → SELECT * FROM users WHERE email = '' OR '1'='1'   → returns ALL users!
// or:  '; DROP TABLE users; --   → could delete the table
```

आक्रमणकारीको इनपुट **SQL कोड** को रूपमा व्यवहार गरिन्छ न कि डेटा — उनीहरूलाई क्वेरी पुनर्लेखन गर्न दिन्छ (लगइन बाइपास गर्न, सबै डेटा डम्प गर्न, टेबलहरू मेटाउन)।

## रोकथाम: parametrized queries (मुख्य समाधान)

```js
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]);     // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
```

**Parameterized queries (prepared statements)** SQL कोड र डेटालाई अलग गर्छन् — इनपुट कहिले पनि SQL को रूपमा व्याख्या गर्न सकिँदैन। यो प्राथमिक, विश्वसनीय बचाव हो।

## अतिरिक्त बचावहरू

```text
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
  string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
  parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
```

## यो किन महत्त्वपूर्ण छ

SQL injection र यसलाई कसरी रोक्ने भनेर बुझ्न आवश्यक छ किनकि यो **सबैभन्दा खतरनाक, क्लासिक, र सामान्य वेब असुरक्षाहरूमध्ये एक** (OWASP injection श्रेणीको भाग) हो, तर पूर्ण रूपमा रोकथाम गर्न सकिन्छ, त्यसैले यो डेटाबेसको साथ काम गर्ने कुनै पनि विकासकर्ताको लागि आवश्यक सुरक्षा ज्ञान हो।

**यो कसरी काम गर्छ** भनेर बुझ्न — कि प्रयोगकर्ता इनपुटलाई सीधा SQL क्वेरीमा जोडिएको इनपुट आक्रमणकारीलाई **SQL कोड घुसाउन** दिन्छ (तिनीहरूको इनपुट कोडको रूपमा डेटाको रूपमा व्यवहार गरिन्छ), उनीहरूलाई प्रमाणीकरण बाइपास गर्न (`' OR '1'='1`), सबै डेटा डम्प गर्न, वा टेबलहरू पनि मेटाउन (`'; DROP TABLE`) सक्षम गर्छ — असुरक्षालाई पहिचान गरी रोक्नको लागि आवश्यक छ।

SQL injection विनाशकारी हो सक्छ (पूर्ण डेटा उल्लंघन, डेटा विनाश, प्रमाणीकरण बाइपास), यसले यसलाई अत्यन्त महत्त्वपूर्ण बनाउँछ।

**रोकथाम** बुझ्न आवश्यक छ: **parameterized queries (prepared statements)** प्राथमिक, विश्वसनीय समाधान हो — तिनीहरूले **SQL कोड र डेटालाई अलग गर्छन्** त्यसैले प्रयोगकर्ता इनपुट शाब्दिक मान को रूपमा व्यवहार गरिन्छ जुन कहिले पनि SQL को रूपमा व्याख्या गर्न सकिँदैन, यस प्रकार घुसाउ असम्भव बनाइन्छ।

यो #1 बचाव हो जुन प्रत्येक विकासकर्ताले प्रयोग गरिरहनु पर्छ।

**अतिरिक्त बचावहरू** बुझ्न — ORMs/query builders प्रयोग गरि (जो parameterize गर्छन्, तर तिनीहरूलाई raw concatenation सँग बाइपास गर्दैन), इनपुट सत्यापन को रूपमा defense-in-depth (तर parameterization को विकल्प होइन), least-privilege डेटाबेस खातहरू, र विस्तृत त्रुटि एक्सपोजर टाल्दै — र **कहिले पनि प्रयोगकर्ता इनपुटलाई क्वेरीमा जोड्न नहिने** मुख्य नियम व्यापक रोकथाम प्रतिबिम्बित गर्छ।

चूंकि SQL injection एक खतरनाक, सामान्य, र क्लासिक असुरक्षा हो गम्भीर परिणामहरू (डेटा उल्लंघन, डेटा हानि, auth बाइपास) सँग जुन पूर्ण रूपमा parameterized queries सँग रोकथाम गर्न सकिन्छ, र चूंकि यो कसरी काम गर्छ र कसरी रोक्ने भनेर बुझ्न डेटाबेसको साथ काम गर्ने कुनै पनि विकासकर्ताको लागि आवश्यक छ, SQL injection र यसको रोकथाम बुझ्न आवश्यक, आवश्यक सुरक्षा ज्ञान हो — एक मौलिक असुरक्षा बुझ्न र रक्षा गर्न, जहाँ सरल, विश्वसनीय समाधान (parameterized queries) महत्त्वपूर्ण ज्ञान हो जो सबैभन्दा क्षतिकारक आक्रमणहरूको एक वर्ग रोक्छ।