SQL injection, bir saldırganın kullanıcı girişi aracılığıyla kötü amaçlı SQL kodu eklediği bir güvenlik açığıdır — veritabanı sorgularını manipüle ederek veri çalmak, kimlik doğrulamayı atlatmak veya verilere zarar vermek için kullanılır. En tehlikeli ve klasik web güvenlik açıklarından biridir, ancak uygun tekniklerle önlenebilir.
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
query = ;
Saldırganın girişi SQL kodu olarak değerlendirilir — veri olarak değil — ve bu sayede sorguyu yeniden yazabilirler (oturum açmayı atlatabilir, tüm verileri döküp tablo silebilirler).
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]); // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
Parametreli sorgular (prepared statements) SQL kodunu veriden ayırırlar — giriş hiçbir zaman SQL olarak yorumlanamaz. Bu birincil ve güvenilir savunmadır.
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
SQL injection'ı ve nasıl önleneceğini anlamak önemlidir çünkü en tehlikeli, klasik ve yaygın web güvenlik açıklarından biridir (OWASP injection kategorisinin parçası), ancak tamamen önlenebilir olması nedeniyle veritabanlarıyla çalışan her geliştirici için bilmesi gereken kritik güvenlik bilgisidir.
Nasıl çalıştığını anlamak — kullanıcı girişini doğrudan SQL sorgularına birleştirmenin bir saldırganın SQL kodu enjekte etmesini sağlaması (girişin veri olarak değil kod olarak işlenmesi), kimlik doğrulamayı atlatması (' OR '1'='1'), tüm verileri dökması veya hatta tabloları silmesi ('; DROP TABLE) — güvenlik açığını tanımak ve önlemek için gereklidir.
SQL injection yıkıcı olabilir (tam veri ihlali, veri kaybı, kimlik doğrulama atlatması), bu da onu kritik derecede önemli kılar.
Önlemeyi anlamak önemlidir: parametreli sorgular (prepared statements) birincil ve güvenilir çözümdür — SQL kodunu veriden ayırırlar böylece kullanıcı girişi hiçbir zaman SQL olarak yorumlanamayan gerçek bir değer olarak işlenir, enjeksiyonu imkansız kılar.
Bu her geliştirici tarafından kullanılması gereken #1 savunmadır.
Ek savunmaları anlamak — ORM/sorgu oluşturucuları kullanmak (parametrelendirir, ancak bunları ham birleştirmeyle atlamak), girdi doğrulaması derinlemesine savunma olarak (ancak parametrelemeye alternatif değildir), en az ayrıcalık veritabanı hesapları ve ayrıntılı hata ifşasından kaçınmak — ve sorguların içine asla kullanıcı girişi birleştirmeme temel kuralı — kapsamlı önlemeyi yansıtır.
SQL injection, ciddi sonuçları olan (veri ihlali, veri kaybı, kimlik doğrulama atlatması) tehlikeli, yaygın ve klasik bir güvenlik açığı olup parametreli sorgularla tamamen önlenebilir olduğu için ve bu açığın nasıl çalıştığı ile nasıl önleneceğini anlamanın veritabanlarıyla çalışan her geliştirici için gerekli olması nedeniyle, SQL injection'ı ve önlenmesini anlamak temel, bilmesi zorunlu olan güvenlik bilgisidir — anlaşılması ve korunması gereken temel bir güvenlik açığı olup, basit ve güvenilir çözüm (parametreli sorgular) en yıkıcı saldırı sınıflarından birini önleyen kritik bilgidir.