SQL injection là một lỗ hổng trong đó kẻ tấn công chèn SQL độc hại qua đầu vào của người dùng — thao túng các truy vấn cơ sở dữ liệu để đánh cắp dữ liệu, vượt qua authentication, hoặc phá hủy dữ liệu. Đây là một trong những lỗ hổng web nguy hiểm và kinh điển nhất, nhưng có thể phòng ngừa bằng các kỹ thuật phù hợp.
Khi đầu vào của người dùng được nối trực tiếp vào một truy vấn SQL, kẻ tấn công có thể CHÈN SQL:
query = ;
Đầu vào của kẻ tấn công được xử lý như code SQL thay vì dữ liệu — cho phép chúng viết lại truy vấn (vượt qua đăng nhập, lấy hết dữ liệu, xóa bảng).
// ✅ PARAMETERIZED / PREPARED statements — đầu vào được xử lý như DỮ LIỆU, không bao giờ là code
const query = 'SELECT * FROM users WHERE email = ?';
db.execute(query, [userInput]); // giá trị được bind an toàn, không phải nối chuỗi
// → database xử lý userInput như một giá trị literal → injection không thể xảy ra
Parameterized queries (prepared statements) tách code SQL khỏi dữ liệu — đầu vào không bao giờ có thể bị diễn giải như SQL. Đây là biện pháp phòng thủ chính, đáng tin cậy.
✓ PARAMETERIZED queries / prepared statements → cách khắc phục #1 (luôn dùng chúng)
✓ ORMs/query builders → dùng parameterization bên dưới (nhưng đừng bỏ qua bằng cách nối chuỗi
thô)
✓ INPUT VALIDATION (defense in depth) — validate/sanitize, nhưng KHÔNG thay thế cho
parameterization
✓ Tài khoản DB có LEAST PRIVILEGE (giới hạn thiệt hại); tránh để lộ lỗi DB chi tiết
→ KHÔNG BAO GIỜ xây dựng truy vấn bằng cách nối đầu vào người dùng.
Hiểu SQL injection và cách phòng ngừa nó là thiết yếu vì đó là một trong những lỗ hổng web nguy hiểm, kinh điển và phổ biến nhất (thuộc nhóm injection của OWASP), nhưng hoàn toàn có thể phòng ngừa, nên đó là kiến thức bảo mật phải biết đối với bất kỳ lập trình viên nào làm việc với cơ sở dữ liệu.
Hiểu cách nó hoạt động — rằng việc nối trực tiếp đầu vào người dùng vào truy vấn SQL cho phép kẻ tấn công chèn code SQL (đầu vào của chúng được xử lý như code thay vì dữ liệu), cho phép chúng vượt qua authentication (' OR '1'='1), lấy hết dữ liệu, hoặc thậm chí xóa bảng ('; DROP TABLE) — là cần thiết để nhận ra và tránh lỗ hổng.
SQL injection có thể gây thảm họa (vi phạm dữ liệu toàn bộ, phá hủy dữ liệu, vượt qua authentication), khiến nó cực kỳ quan trọng.
Hiểu cách phòng ngừa là thiết yếu: parameterized queries (prepared statements) là cách khắc phục chính, đáng tin cậy — chúng tách code SQL khỏi dữ liệu để đầu vào người dùng được xử lý như một giá trị literal không bao giờ có thể bị diễn giải như SQL, khiến injection không thể xảy ra.
Đây là biện pháp phòng thủ #1 mà mọi lập trình viên phải dùng.
Hiểu các biện pháp phòng thủ bổ sung — dùng ORMs/query builders (vốn parameterize, nhưng không bỏ qua chúng bằng cách nối chuỗi thô), input validation như defense-in-depth (nhưng không thay thế cho parameterization), tài khoản cơ sở dữ liệu least-privilege, và tránh để lộ lỗi chi tiết — và quy tắc tối cao không bao giờ nối đầu vào người dùng vào truy vấn phản ánh việc phòng ngừa toàn diện.
Vì SQL injection là một lỗ hổng nguy hiểm, phổ biến và kinh điển với hậu quả nghiêm trọng (vi phạm dữ liệu, mất dữ liệu, vượt qua auth) mà hoàn toàn có thể phòng ngừa bằng parameterized queries, và vì hiểu cách nó hoạt động và cách phòng ngừa là thiết yếu cho bất kỳ lập trình viên nào làm việc với cơ sở dữ liệu, nên hiểu SQL injection và cách phòng ngừa nó là kiến thức bảo mật thiết yếu, phải biết — một lỗ hổng cơ bản cần hiểu và phòng thủ, nơi cách khắc phục đơn giản, đáng tin cậy (parameterized queries) là kiến thức then chốt ngăn chặn một trong những nhóm tấn công gây hại nhất.