SQL injection کیا ہے اور آپ اس سے کیسے بچاتے ہیں؟

Question

Accepted Answer

**SQL injection** ایک کمزوری ہے جہاں ایک حملہ آور صارف کی input کے ذریعے بدنیت SQL داخل کرتا ہے — ڈیٹا بیس کی queries کو منیپولیٹ کرتے ہوئے ڈیٹا چوری کرنے، توثیق کو نقل کرنے، یا ڈیٹا کو نقصان پہنچانے کے لیے۔ یہ سب سے خطرناک اور روایتی ویب کمزوریوں میں سے ایک ہے، لیکن صحیح تکنیکوں کے ساتھ روکا جا سکتا ہے۔

## SQL injection کیسے کام کرتی ہے

```text
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
```

```js
// ❌ VULNERABLE — user input concatenated into the query
const query = `SELECT * FROM users WHERE email = '${userInput}'`;
// attacker enters:  ' OR '1'='1
// → SELECT * FROM users WHERE email = '' OR '1'='1'   → returns ALL users!
// or:  '; DROP TABLE users; --   → could delete the table
```

حملہ آور کی input کو **SQL code** کے طور پر سمجھا جاتا ہے — ڈیٹا کے بجائے — انہیں query کو دوبارہ لکھنے دیتے ہوئے (لاگ ان کو نقل کریں، تمام ڈیٹا ڈمپ کریں، ٹیبلز حذف کریں)۔

## روک تھام: پیرامیٹرائز شدہ queries (بنیادی حل)

```js
// ✅ PARAMETERIZED / PREPARED statements — input is treated as DATA, never as code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]);     // the value is safely bound, not concatenated
// → the database treats userInput as a literal value → injection impossible
```

**Parameterized queries (prepared statements)** SQL code کو ڈیٹا سے الگ کرتے ہیں — input کو کبھی SQL کے طور پر تشریح نہیں کیا جا سکتا۔ یہ بنیادی، قابل اعتماد دفاع ہے۔

## اضافی دفاع

```text
✓ PARAMETERIZED queries / prepared statements → the #1 fix (always use them)
✓ ORMs/query builders → use parameterization under the hood (but don't bypass with raw
  string concatenation)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, but NOT a substitute for
  parameterization
✓ LEAST PRIVILEGE DB accounts (limit damage); avoid exposing detailed DB errors
→ NEVER build queries by concatenating user input.
```

## یہ کیوں اہم ہے

SQL injection اور اس سے بچاؤ کو سمجھنا ضروری ہے کیونکہ یہ **سب سے خطرناک، روایتی، اور عام ویب کمزوریوں میں سے ایک ہے** (OWASP injection زمرے کا حصہ)، پھر بھی مکمل طور پر روکا جا سکتا ہے، اس لیے یہ کسی بھی ڈیٹا بیس کے ساتھ کام کرنے والے ڈویلپر کے لیے لازمی سیکیورٹی علم ہے۔

**یہ کیسے کام کرتا ہے** سمجھنا — کہ صارف کی input کو براہ راست SQL queries میں جوڑ دینا ایک حملہ آور کو **SQL code انجکٹ کرنے دیتا ہے** (ان کی input کو ڈیٹا کے بجائے code کے طور پر سمجھا جاتا ہے)، انہیں توثیق کو نقل کرنے (`' OR '1'='1`)، تمام ڈیٹا ڈمپ کرنے، یا یہاں تک کہ ٹیبلز حذف کرنے (`'; DROP TABLE`) کو فعال کرتا ہے — کمزوری کو سمجھنا اور ٹالنا ضروری ہے۔

SQL injection تباہ کن ہو سکتی ہے (مکمل ڈیٹا کی خلاف ورزی، ڈیٹا کی تبدیلی، توثیق کی نقل)، اسے بے حد اہم بناتے ہوئے۔

**روک تھام** کو سمجھنا ضروری ہے: **parameterized queries (prepared statements)** بنیادی، قابل اعتماد حل ہیں — وہ **SQL code کو ڈیٹا سے الگ کرتے ہیں** تاکہ صارف کی input کو لفظی قیمت کے طور پر سمجھا جائے جو کبھی SQL کے طور پر تشریح نہیں کی جا سکتی، انجکشن کو ناممکن بناتے ہوئے۔

یہ ہر ڈویلپر کو استعمال کرنے کا #1 دفاع ہے۔

**اضافی دفاع** کو سمجھنا — ORMs/query builders کا استعمال (جو parameterize کرتے ہیں، لیکن raw concatenation کے ساتھ ان کو نہیں چھوڑتے)، input validation کو defense-in-depth کے طور پر (لیکن parameterization کا متبادل نہیں)، کم از کم سہولت ڈیٹا بیس کے اکاؤنٹس، اور تفصیلی error exposure سے بچنا — اور بنیادی اصول کہ **کبھی صارف کی input کو queries میں concatenate نہ کریں** جامع روک تھام کی عکاسی کرتے ہیں۔

چونکہ SQL injection ایک خطرناک، عام، اور روایتی کمزوری ہے شدید نتائج کے ساتھ (ڈیٹا کی خلاف ورزی، ڈیٹا کی تبدیلی، auth bypass) جو مکمل طور پر parameterized queries کے ساتھ روکا جا سکتا ہے، اور چونکہ یہ سمجھنا کہ یہ کیسے کام کرتا ہے اور اس سے بچاؤ اہم ہے کسی بھی ڈیٹا بیس کے ساتھ کام کرنے والے ڈویلپر کے لیے، SQL injection اور اس کی روک تھام کو سمجھنا ضروری ہے، لازمی سیکیورٹی علم — ایک بنیادی کمزوری سمجھنے اور اس کے خلاف دفاع کرنے کے لیے، جہاں سادہ، قابل اعتماد حل (parameterized queries) اہم علم ہے جو حملوں کی سب سے نقصان دہ کلاسوں میں سے ایک کو روکتا ہے۔