SQL-injectie is een kwetsbaarheid waarbij een aanvaller schadelijke SQL injects via gebruikersinvoer — waarbij databasequery's worden gemanipuleerd om gegevens te stelen, authenticatie te omzeilen of gegevens te beschadigen. Het is een van de gevaarlijkste en klassieke webkwetsbaarheden, maar is preventief met juiste technieken.
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
query = ;
De invoer van de aanvaller wordt behandeld als SQL-code in plaats van gegevens — waardoor ze de query kunnen herschrijven (login omzeilen, alle gegevens dumpen, tabellen verwijderen).
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]); // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
Geparameteriseerde query's (prepared statements) scheiden SQL-code van gegevens — de invoer kan nooit als SQL worden geïnterpreteerd. Dit is de primaire, betrouwbare verdediging.
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
Begrip van SQL-injectie en hoe je het voorkomt is essentieel omdat het een van de gevaarlijkste, klassieke en meest voorkomende webkwetsbaarheden is (deel van de OWASP-injectiecategorie), maar volledig preventief, dus het is essentiële beveiligingskennis voor elke ontwikkelaar die met databases werkt.
Begrip van hoe het werkt — dat het rechtstreeks samenvoegen van gebruikersinvoer in SQL-query's een aanvaller in staat stelt om SQL-code in te jecteren (hun invoer wordt als code behandeld in plaats van gegevens), waardoor authenticatie kan worden omzeild (' OR '1'='1), alle gegevens kunnen worden gedumpt of zelfs tabellen kunnen worden verwijderd ('; DROP TABLE) — is nodig om de kwetsbaarheid te herkennen en te vermijden.
SQL-injectie kan catastrofaal zijn (volledige datalek, gegevensvernietiging, authenticatiebypass), waardoor het kritiek belangrijk is.
Begrip van de preventie is essentieel: geparameteriseerde query's (prepared statements) zijn de primaire, betrouwbare oplossing — ze scheiden SQL-code van gegevens, zodat gebruikersinvoer wordt behandeld als een letterlijke waarde die nooit als SQL kan worden geïnterpreteerd, waardoor injectie onmogelijk is.
Dit is de nr. 1 verdediging die elke ontwikkelaar moet gebruiken.
Begrip van de aanvullende verdedigingen — het gebruik van ORMs/query builders (die parameteriseren, maar niet omzeilen met raw concatenatie), inputvalidatie als verdediging in diepte (maar geen vervanging voor parameterisering), accounts voor databases met minimale bevoegdheden en het vermijden van gedetailleerde foutblootstelling — en de cardinale regel om nooit gebruikersinvoer in query's samen te voegen — weerspiegelt uitgebreide preventie.
Omdat SQL-injectie een gevaarlijke, veelvoorkomende en klassieke kwetsbaarheid is met ernstige gevolgen (gelek gegevens, gegevensverlies, auth-bypass) die volledig preventief is met geparameteriseerde query's, en omdat het begrijpen hoe het werkt en hoe het te voorkomen is essentieel voor elke ontwikkelaar die met databases werkt, is het begrijpen van SQL-injectie en de preventie ervan essentiële, must-know beveiligingskennis — een fundamentele kwetsbaarheid om te begrijpen en te verdedigen tegen, waarbij de eenvoudige, betrouwbare oplossing (geparameteriseerde query's) kritieke kennis is die één van de meest schadelijke klassen van aanvallen voorkomt.