Що таке SQL Injection?

SQL Injection (SQLI) - це тип атаки на веб-додатки, під час якої зловмисник вставляє SQL-код у вхідні дані, які оброблюються сервером бази даних. Основна ідея полягає в тому, що атакуючий модіфікує запит до бази даних, і таким чином може отримати несанкціонований доступ до інформації чи навіть змінити або видалити дані в базі даних. SQL-ін'єкція виглядає приблизно так:

Зловмисник вводить SQL-код у веб-форму чи параметр URL, який потім передається на сервер.

Веб-додаток не належним чином обробляє введені дані і включає їх у SQL-запит.

Зловмисник запускає SQL-код на сервері бази даних, що може призвести до різних наслідків. Розробники мають забезпечити безпеку додатку, а тестувальники перевірити всі можливі (наскільки можливо) варіанти вразливостей. Регулярний penetration testing також є гарною практикою виявлення та запобігання вразливостей.