SQL injection என்பது ஒரு பாதுகாப்பு குறைபாடு ஆகும், அங்கு ஒரு தாக்குனர் பயனர் உள்ளீட்டின் மூலம் தீங்கிளக்கும் SQL ஐ செருகுகிறார் — தரவுத்தளம் வினவல்களைக் கையாளுவதற்கு, அங்கீகாரத்தை கடக்க, அல்லது தரவைக் கெடுக்க. இது மிகவும் ஆபத்தான மற்றும் பகுப்பரிய வலை பாதுகாப்பு குறைபாடுகளில் ஒன்றாகும், ஆனால் சரியான நுட்பங்களுடன் தடுக்க முடியும்..
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
query = ;
தாக்குனரின் உள்ளீடு SQL code ஆக கருதப்படுகிறது தரவு அல்ல — அவர்களை வினவலை மீண்டும் எழுத அனுமதிக்கிறது (உள்நுழைவு கடக்க, அனைத்து தரவையும் குறைக்க, அட்டவணைகளை நீக்க).
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]); // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
Parameterized queries (prepared statements) SQL code ஐ தரவிலிருந்து பிரிக்கிறது — உள்ளீடு SQL ஆக விளக்கப்பட முடியாது. இது முதன்மை, நம்பகமான பாதுகாப்பு.
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
SQL injection மற்றும் அதை தடுப்பது எவ்வாறு என்பதைப் புரிந்துகொள்வது அவசியம் ஏனெனில் இது மிகவும் ஆபத்தான, பகுப்பரிய, மற்றும் பொதுவான வலை பாதுகாப்பு குறைபாடுகளில் ஒன்று (OWASP injection வகையின் பகுதி), ஆனால் முழுவதுமாக தடுக்கக்கூடியது, எனவே இது தரவுத்தளங்கள் முழுவதும் பணிபுரியும் எந்த டெவலப்பருக்கும் கட்டாய பாதுகாப்பு அறிவு.
இது எவ்வாறு செயல்படுகிறது என்பதைப் புரிந்துகொள்வது — பயனர் உள்ளீட்டை நேரடியாக SQL வினவல்களில் இணைப்பது ஒரு தாக்குனரை SQL code ஐ செருக அனுமதிக்கிறது (அவர்களின் உள்ளீடு கோட் என்று நடத்தப்படுகிறது தரவு அல்ல), அங்கீகாரத்தை கடக்க அனுமதிக்கிறது (' OR '1'='1), அனைத்து தரவையும் குறைக்க, அல்லது அட்டவணைகளை நீக்க ('; DROP TABLE) — பாதுகாப்பு குறைபாட்டை அங்கீகரிக்க மற்றும் தவிர்க்க அவசியம்.
SQL injection பேரழிவாக இருக்கலாம் (முழுத் தரவு மீறல், தரவு அழிவு, அங்கீகாரம் கடக்க), இது முக்கியமாக முக்கியமாக அதிக முக்கியத்துவமுள்ளது.
தடுப்பு என்பதைப் புரிந்துகொள்வது அவசியம்: parameterized queries (prepared statements) முதன்மை, நம்பகமான சரி — அவர்கள் SQL code ஐ தரவிலிருந்து பிரிக்கிறது எனவே பயனர் உள்ளீடு ஒரு literal மதிப்பு என்று நடத்தப்படுகிறது அது SQL ஆக விளக்கப்பட முடியாது, injection சாத்தியமற்றது.
இது #1 பாதுகாப்பு ஒவ்வொரு டெவலப்பரும் பயன்படுத்த வேண்டும்.
கூடுதல் பாதுகாப்புகள் புரிந்துகொள்வது — ORMs/query builders ஐ பயன்படுத்துதல் (parameterize ஆக இருக்கும், ஆனால் அவற்றை மீறாது raw concatenation உடன்), input validation ஐ defense-in-depth ஆக (ஆனால் parameterization க்கு ஒரு மாற்று அல்ல), least-privilege தரவுத்தளம் கணக்குகள், மற்றும் விளக்கமான error exposure ஐ தவிர்த்தல் — மற்றும் cardinal rule to எப்போதும் concatenate பயனர் உள்ளீட்டை வினவல்களுக்கு — comprehensive தடுப்பு பிரதிபலிக்கிறது.
SQL injection ஒரு ஆபத்தான, பொதுவான, மற்றும் பகுப்பரிய பாதுகாப்பு குறைபாடு தீவிர விளைவுகள் (தரவு மீறல், தரவு இழப்பு, auth bypass) உடன் முழுவதுமாக preventable parameterized queries உடன், மற்றும் இது எவ்வாறு செயல்படுகிறது மற்றும் அதை தடுப்பது எவ்வாறு என்பதைப் புரிந்துகொள்வது அவசியம், SQL injection மற்றும் அதன் தடுப்பு புரிந்துகொள்வது கட்டாய, must-know பாதுகாப்பு அறிவு — ஒரு அடிப்படை பாதுகாப்பு குறைபாடு புரிந்துகொள்ள மற்றும் எதிர்ப்பு, எங்கே simple, நம்பகமான சரி (parameterized queries) முக்கியமான அறிவு தடுக்கிறது மிகவும் damaging தாக்குதல் வகுப்புகளில் ஒன்று.