Injecția SQL este o vulnerabilitate în care un atacator inserează SQL rău intenționat prin inputul utilizatorului — manipulând interogările bazei de date pentru a fura date, a ocoli autentificarea sau pentru a deteriora datele. Este una dintre cele mai periculoase și clasice vulnerabilități web, dar poate fi prevenită cu tehnici adecvate.
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
query = ;
Inputul atacatorului este tratat ca cod SQL în loc de date — permettând-le să rescrie interogarea (ocoli autentificarea, extrage toate datele, șterge tabele).
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]); // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
Interogările parametrizate (instrucțiuni pregătite) separă codul SQL de date — inputul nu poate niciodată fi interpretat ca SQL. Aceasta este principala și fiabilă apărare.
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
Înțelegerea injecției SQL și cum o previi este esențială deoarece este una dintre cele mai periculoase, clasice și frecvente vulnerabilități web (parte a categoriei OWASP injection), cu toate că este complet prevenibilă, deci este cunoștințe de securitate obligatorii pentru orice dezvoltator care lucrează cu baze de date.
Înțelegerea cum funcționează — că concatenarea inputului utilizatorului direct în interogările SQL permite unui atacator să injecteze cod SQL (inputul lor tratat ca cod în loc de date), permitând-le să ocolească autentificarea (' OR '1'='1), să extrageți toate datele sau chiar să ștergeți tabele ('; DROP TABLE) — este necesară pentru a recunoaște și evita vulnerabilitatea.
Injecția SQL poate fi catastrofală (breach complet de date, distrugere de date, ocolire de autentificare), ceea ce o face critic importantă.
Înțelegerea prevenirii este esențială: interogările parametrizate (instrucțiuni pregătite) sunt principala și fiabilă soluție — ele separă codul SQL de date pentru ca inputul utilizatorului să fie tratat ca o valoare literală care nu poate niciodată fi interpretată ca SQL, ceea ce face injecția imposibilă.
Aceasta este apărarea #1 pe care trebuie să o folosească fiecare dezvoltator.
Înțelegerea apărărilor suplimentare — utilizarea ORM-urilor/query builders-urilor (care parametrizează, dar nu le ocolind cu concatenare brută), validarea inputului ca defense-in-depth (dar nu ca substitute pentru parametrizare), conturi de bază de date cu privilegii minime și evitarea expunerii detaliate a erorilor — și regula cardinală să nu concatenezi niciodată inputul utilizatorului în interogări reflectă prevenire comprehensivă.
Deoarece injecția SQL este o vulnerabilitate periculoasă, frecventă și clasică cu consecințe severe (breach de date, pierdere de date, ocolire autentificare) care este complet prevenibilă cu interogări parametrizate, și deoarece înțelegerea cum funcționează și cum o previi este esențială pentru orice dezvoltator care lucrează cu baze de date, înțelegerea injecției SQL și prevenirea ei este esențială, cunoștințe obligatorii de securitate — o vulnerabilitate fundamentală de înțeles și de apărat împotriva ei, unde soluția simplă și fiabilă (interogări parametrizate) este cunoștințe critice care previne una dintre cele mai dăunătoare clase de atacuri.