Injecció SQL
Definicio
La injecció SQL és una tècnica d'atac en la qual s'introdueix codi SQL maliciós en un camp d'entrada d'una aplicació web per obtenir accés no autoritzat a la base de dades subjacent.
En la injecció SQL, un atacant explota el maneig insegur d'entrades en una aplicació web. En incrustar ordres SQL especialment dissenyades en formularis o paràmetres d'URL, un atacant pot manipular les consultes de la base de dades.
Les conseqüències inclouen la lectura de totes les dades de la base de dades (incloses les contrasenyes), la modificació o eliminació de registres i, en alguns casos, l'execució d'ordres del sistema operatiu a través de la base de dades.
La injecció SQL porta anys en el OWASP Top 10. La defensa consisteix en consultes parametritzades (prepared statements), validació d'entrades i revisions periòdiques de seguretat de codi.