SQL injection ਕੀ ਹੈ ਅਤੇ ਤੁਸੀਂ ਇਸ ਨੂੰ ਕਿਵੇਂ ਰੋਕਦੇ ਹੋ?

Question

Accepted Answer

**SQL injection** ਇੱਕ ਕਮਜ਼ੋਰੀ ਹੈ ਜਿਸ ਵਿੱਚ ਇੱਕ ਹਮਲਾ ਕਰਨ ਵਾਲਾ ਯੂਜ਼ਰ ਇਨਪੁਟ ਦੁਆਰਾ ਖ਼ਤਰਨਾਕ SQL ਭਰਦਾ ਹੈ — ਡਾਟਾਬੇਸ ਪੁੱਛਗਿੱਛ ਨੂੰ ਹੇਰਾ-ਫੇਰੀ ਕਰਕੇ ਡਾਟਾ ਚੋਰੀ ਕਰਨਾ, ਪ੍ਰਮਾਣੀਕਰਨ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨਾ, ਜਾਂ ਡਾਟਾ ਨੂੰ ਨੁਕਸਾਨ ਪਹੁੰਚਾਉਣਾ। ਇਹ ਸਭ ਤੋਂ ਖ਼ਤਰਨਾਕ ਅਤੇ ਕਲਾਸਿਕ ਵੈੱਬ ਕਮਜ਼ੋਰੀਆਂ ਵਿੱਚੋਂ ਇੱਕ ਹੈ, ਪਰ ਸਹੀ ਤਕਨੀਕਾਂ ਨਾਲ ਰੋਕੀ ਜਾ ਸਕਦੀ ਹੈ।

## SQL injection ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ

```text
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
```

```js
// ❌ VULNERABLE — user input concatenated into the query
const query = `SELECT * FROM users WHERE email = '${userInput}'`;
// attacker enters:  ' OR '1'='1
// → SELECT * FROM users WHERE email = '' OR '1'='1'   → returns ALL users!
// or:  '; DROP TABLE users; --   → could delete the table
```

ਹਮਲਾ ਕਰਨ ਵਾਲੇ ਦੀ ਇਨਪੁਟ ਨੂੰ **SQL ਕੋਡ** ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਨਾ ਕਿ ਡਾਟਾ — ਇਸ ਨਾਲ ਉਹ ਪੁੱਛਗਿੱਛ ਨੂੰ ਮੁੜ ਲਿਖ ਸਕਦੇ ਹਨ (ਲਾਗਇਨ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨਾ, ਸਾਰਾ ਡਾਟਾ ਡੰਪ ਕਰਨਾ, ਟੇਬਲਾਂ ਨੂੰ ਮਿਟਾਉਣਾ)।

## ਰੋਕਥਾਮ: ਪੈਰਾਮੀਟਰਾਈਜ਼ਡ ਕਿਊਰੀਜ਼ (ਮੁੱਖ ਫਿਕਸ)

```js
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]);     // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
```

**Parameterized queries (prepared statements)** SQL ਕੋਡ ਨੂੰ ਡਾਟੇ ਤੋਂ ਵੱਖ ਕਰਦੇ ਹਨ — ਇਨਪੁਟ ਨੂੰ ਕਦੀ SQL ਵਜੋਂ ਨਹੀਂ ਸਮਝਿਆ ਜਾ ਸਕਦਾ। ਇਹ ਮੁੱਖ, ਨਿਰਭਰਯੋਗ ਰੱਖਿਆ ਹੈ।

## ਅਤਿਰਿਕਤ ਰੱਖਿਆ

```text
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
  string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
  parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
```

## ਇਹ ਕਿਉਂ ਮਹੱਤਵਪੂਰਨ ਹੈ

SQL injection ਨੂੰ ਸਮਝਣਾ ਅਤੇ ਇਸ ਨੂੰ ਕਿਵੇਂ ਰੋਕਿਆ ਜਾਵੇ ਇਹ ਜ਼ਰੂਰੀ ਹੈ ਕਿਉਂਕਿ ਇਹ **ਸਭ ਤੋਂ ਖ਼ਤਰਨਾਕ, ਕਲਾਸਿਕ, ਅਤੇ ਆਮ ਵੈੱਬ ਕਮਜ਼ੋਰੀਆਂ ਵਿੱਚੋਂ ਇੱਕ ਹੈ** (OWASP injection ਸ਼੍ਰੇਣੀ ਦਾ ਹਿੱਸਾ), ਫਿਰ ਵੀ ਪੂਰੀ ਤਰ੍ਹਾਂ ਰੋਕੀ ਜਾ ਸਕਦੀ ਹੈ, ਇਸ ਲਈ ਇਹ ਕਿਸੇ ਵੀ ਡਿਵੈਲਪਰ ਲਈ ਲਾਜ਼ਮੀ-ਪਤਾ ਸੁਰੱਖਿਆ ਗਿਆਨ ਹੈ।

**ਇਹ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ** ਇਹ ਸਮਝਣਾ — ਕਿ ਯੂਜ਼ਰ ਇਨਪੁਟ ਨੂੰ ਸਿੱਧਾ SQL ਪੁੱਛਗਿੱਛ ਵਿੱਚ ਜੋੜਨਾ ਹਮਲਾ ਕਰਨ ਵਾਲੇ ਨੂੰ **SQL ਕੋਡ ਭਰਨ ਦੀ ਇਜ਼ਾਜ਼ਤ ਦਿੰਦਾ ਹੈ** (ਉਨ੍ਹਾਂ ਦੀ ਇਨਪੁਟ ਕੋਡ ਦੇ ਰੂਪ ਵਿੱਚ ਮੰਨੀ ਜਾਂਦੀ ਹੈ, ਡਾਟਾ ਦੇ ਰੂਪ ਵਿੱਚ ਨਹੀਂ), ਉਨ੍ਹਾਂ ਨੂੰ ਪ੍ਰਮਾਣੀਕਰਨ ਬਾਈਪਾਸ ਕਰਨ (`' OR '1'='1`), ਸਾਰਾ ਡਾਟਾ ਡੰਪ ਕਰਨ, ਜਾਂ ਇੱਥੋਂ ਤੱਕ ਕਿ ਟੇਬਲਾਂ ਨੂੰ ਮਿਟਾਉਣ (`'; DROP TABLE`) — ਕੀ ਸ਼ਕਤੀ ਦਿੰਦਾ ਹੈ, ਇਹ ਕਮਜ਼ੋਰੀ ਨੂੰ ਪਛਾਣਨ ਅਤੇ ਬਚਣ ਲਈ ਜ਼ਰੂਰੀ ਹੈ।

SQL injection ਵਿਨਾਸ਼ਕਾਰੀ ਹੋ ਸਕਦੀ ਹੈ (ਪੂਰੀ ਡਾਟਾ ਚੋਰੀ, ਡਾਟਾ ਤਬਾਹੀ, ਪ੍ਰਮਾਣੀਕਰਨ ਬਾਈਪਾਸ), ਇਸ ਨੂੰ ਨਾਜ਼ੁਕ ਤੌਰ ਤੇ ਮਹੱਤਵਪੂਰਨ ਬਣਾਉਂਦੇ ਹੋਏ।

**ਰੋਕਥਾਮ** ਨੂੰ ਸਮਝਣਾ ਜ਼ਰੂਰੀ ਹੈ: **Parameterized queries (prepared statements)** ਮੁੱਖ, ਨਿਰਭਰਯੋਗ ਫਿਕਸ ਹਨ — ਉਹ **SQL ਕੋਡ ਨੂੰ ਡਾਟੇ ਤੋਂ ਵੱਖ ਕਰਦੇ ਹਨ** ਇਸ ਲਈ ਯੂਜ਼ਰ ਇਨਪੁਟ ਨੂੰ ਇੱਕ ਲਾਜ਼ਮੀ ਮੁੱਲ ਮਾਨਿਆ ਜਾਂਦਾ ਹੈ ਜਿਸਨੂੰ ਕਦੀ SQL ਦੇ ਰੂਪ ਵਿੱਚ ਨਹੀਂ ਸਮਝਿਆ ਜਾ ਸਕਦਾ, ਇਨਜੈਕਸ਼ਨ ਨੂੰ ਅਸੰਭਵ ਬਣਾਉਂਦੇ ਹੋਏ।

ਇਹ #1 ਰੱਖਿਆ ਹੈ ਜਿਸ ਨੂੰ ਹਰ ਡਿਵੈਲਪਰ ਨੂੰ ਵਰਤਣਾ ਚਾਹੀਦਾ ਹੈ।

**ਅਤਿਰਿਕਤ ਰੱਖਿਆ** ਨੂੰ ਸਮਝਣਾ — ORMs/query builders ਦੀ ਵਰਤੋਂ (ਜੋ parameterize ਕਰਦੇ ਹਨ, ਪਰ ਕੱਚੇ concatenation ਨਾਲ ਉਨ੍ਹਾਂ ਨੂੰ ਬਾਈਪਾਸ ਨਹੀਂ ਕਰਦੇ), input validation ਨੂੰ defense-in-depth ਦੇ ਤੌਰ ਤੇ (ਪਰ parameterization ਦੀ ਥਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਨਹੀਂ), least-privilege ਡਾਟਾਬੇਸ ਖਾਤੇ, ਅਤੇ ਵਿਸਤ੍ਰਿਤ ਗ਼ਲਤੀ ਦੀ ਨੁਕਾਸ਼ ਨਾ ਕਰਨਾ — ਅਤੇ ਲਾਜ਼ਮੀ ਨਿਯਮ ਕਿ **ਯੂਜ਼ਰ ਇਨਪੁਟ ਨੂੰ ਕਦੀ ਪੁੱਛਗਿੱਛ ਵਿੱਚ ਜੋੜਨ ਨੂੰ ਨਾ ਕਰਨਾ** — ਵਿਆਪਕ ਰੋਕਥਾਮ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਕਿਉਂਕਿ SQL injection ਇੱਕ ਖ਼ਤਰਨਾਕ, ਆਮ, ਅਤੇ ਕਲਾਸਿਕ ਕਮਜ਼ੋਰੀ ਹੈ ਜਿਸ ਦੇ ਗਮਭੀਰ ਨਤੀਜੇ ਹਨ (ਡਾਟਾ ਚੋਰੀ, ਡਾਟਾ ਨੁਕਸਾਨ, auth ਬਾਈਪਾਸ) ਜੋ ਪੂਰੀ ਤਰ੍ਹਾਂ parameterized queries ਨਾਲ ਰੋਕੀ ਜਾ ਸਕਦੀ ਹੈ, ਅਤੇ ਕਿਉਂਕਿ ਇਹ ਸਮਝਣਾ ਕਿ ਇਹ ਕਿਵੇਂ ਕੰਮ ਕਰਦੀ ਹੈ ਅਤੇ ਇਸ ਨੂੰ ਕਿਵੇਂ ਰੋਕਿਆ ਜਾਵੇ ਇਹ ਉਨ੍ਹਾਂ ਸਾਰਿਆਂ ਦੇ ਲਈ ਜ਼ਰੂਰੀ ਹੈ ਜੋ ਡਾਟਾਬੇਸ ਨਾਲ ਕੰਮ ਕਰਦੇ ਹਨ, SQL injection ਨੂੰ ਸਮਝਣਾ ਅਤੇ ਇਸ ਨੂੰ ਰੋਕਣਾ ਲਾਜ਼ਮੀ, ਮਸਤ-ਪਤਾ ਸੁਰੱਖਿਆ ਗਿਆਨ ਹੈ — ਇੱਕ ਬੁਨਿਆਦੀ ਕਮਜ਼ੋਰੀ ਜਿਸ ਨੂੰ ਸਮਝਣਾ ਅਤੇ ਬਚਾਅ ਦਿੰਦੇ ਹੋਣਾ ਜ਼ਰੂਰੀ ਹੈ, ਜਿਥੇ ਸਧਾਰਨ, ਨਿਰਭਰਯੋਗ ਫਿਕਸ (parameterized queries) ਜ਼ਰੂਰੀ ਗਿਆਨ ਹੈ ਜੋ ਹਮਲਿਆਂ ਦੀ ਸਭ ਤੋਂ ਵਿਨਾਸ਼ਕਾਰੀ ਸ਼੍ਰੇਣੀਆਂ ਵਿੱਚ ਤੋਂ ਇੱਕ ਨੂੰ ਰੋਕਦਾ ਹੈ।