SQL injection to luka w zabezpieczeniach, w której atakujący wstrzykuje złośliwy SQL poprzez dane wejściowe użytkownika — manipulując zapytaniami bazodanowymi w celu kradzieży danych, ominięcia uwierzytelniania lub uszkodzenia danych. Jest to jedna z najbardziej niebezpiecznych i klasycznych luk internetowych, ale można jej zapobiegać właściwymi technikami.
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
query = ;
Dane wejściowe atakującego są traktowane jako kod SQL, a nie jako dane — umożliwiając mu przepisanie zapytania (ominięcie logowania, zrzucenie wszystkich danych, usunięcie tabel).
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]); // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
Zapytania sparametryzowane (prepared statements) oddzielają kod SQL od danych — dane wejściowe nigdy nie mogą być interpretowane jako SQL. To jest główna, niezawodna obrona.
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
Zrozumienie SQL injection i sposobów jego zapobiegania jest istotne, ponieważ jest to jedna z najbardziej niebezpiecznych, klasycznych i powszechnych luk internetowych (część kategorii injection OWASP), a jednocześnie całkowicie zapobiegalna, dlatego jest to niezbędna wiedza bezpieczeństwa dla każdego programisty pracującego z bazami danych.
Zrozumienie jak to działa — że konkatenacja danych wejściowych użytkownika bezpośrednio w zapytaniach SQL pozwala atakującemu wstrzyknąć kod SQL (jego dane wejściowe traktowane jako kod, a nie dane), umożliwiając mu ominięcie uwierzytelniania (' OR '1'='1), zrzucenie wszystkich danych, a nawet usunięcie tabel ('; DROP TABLE) — jest niezbędne do rozpoznania i uniknięcia tej luki.
SQL injection może być katastrofalne (pełny wyciek danych, zniszczenie danych, ominięcie uwierzytelniania), co czyni je krytycznie ważnym.
Zrozumienie zapobiegania jest istotne: zapytania sparametryzowane (prepared statements) są głównym, niezawodnym rozwiązaniem — oddzielają kod SQL od danych, więc dane wejściowe użytkownika są traktowane jako wartość dosłowna, która nigdy nie może być interpretowana jako SQL, co uniemożliwia wstrzyknięcie.
To jest pierwsza linia obrony, którą musi stosować każdy programista.
Zrozumienie dodatkowych obron — używanie ORM/konstruktorów zapytań (które sparametryzują, ale nie omijaj ich dzikiej konkatenacją), walidacja danych wejściowych jako obrona głęboka (ale nie substytut sparametryzacji), konta bazodanowe z najmniejszymi uprawnieniami i unikanie szczegółowego ujawniania błędów — oraz główna zasada nigdy nie łączyć danych wejściowych użytkownika w zapytaniach — odzwierciedla kompleksowe zapobieganie.
Ponieważ SQL injection jest niebezpieczną, powszechną i klasyczną luką z poważnymi konsekwencjami (wyciek danych, utrata danych, ominięcie uwierzytelniania), która jest całkowicie zapobiegalna za pomocą zapytań sparametryzowanych, a zrozumienie jak to działa i jak to zapobiegać jest istotne dla każdego programisty pracującego z bazami danych, zrozumienie SQL injection i jego zapobiegania jest istotną, niezbędną wiedzą bezpieczeństwa — fundamentalną luką do zrozumienia i obrony, gdzie proste, niezawodne rozwiązanie (zapytania sparametryzowane) jest krytyczną wiedzą, która zapobiega jednej z najbardziej niszczycielskich klas ataków.