SQLinjektsioon

SQLinjektsioon on turvaauk, mille puhul kasutajalt pärinev sisend lisatakse SQL-päringusse viisil, mis ei ole piisavalt turvaline. Kui päring koostatakse stringina ja sisend ei ole korralikult puhastatud või parametriseeritud, võib pahatahtlik kasutaja muuta päringu loogikat, pääseda tundlike andmete juurde või muuta ning kustutada andmeid. See on üks vanemaid ja laialdasemalt kirjeldatud veebirakenduste haavatavusi.

Toimimise põhimõte seisneb selles, et rakendus ehitab SQL-päringu kasutajapoolse sisendi põhjal. Kui sisend sisaldab SQL-süntaksi osi,

Võimalikud tagajärjed hõlmavad autentimise rikkumist, tundlike andmete avalikustamist, andmete muutmist või kustutamist ning võib viia ka

Ennetamine hõlmab: ettevalmistatud avaldisi ja parametriseeritud päringuid (prepared statements); stringi konkatinatsiooni vältimist; ORM-i või teiste turvaliste

Testimine ja järelevalve tuleb läbi viia kontrollitud keskkonnas, järgides eetilisi juhiseid, ning kasutada automaatseid ja manuaalseid