Inyección SQL
Definicion
La inyección SQL es una técnica de ataque en la que se introduce código SQL malicioso en un campo de entrada de una aplicación web para obtener acceso no autorizado a la base de datos subyacente.
En la inyección SQL, un atacante explota el manejo inseguro de entradas en una aplicación web. Al incrustar comandos SQL especialmente diseñados en formularios o parámetros de URL, un atacante puede manipular las consultas de la base de datos.
Las consecuencias incluyen la lectura de todos los datos de la base de datos (incluidas las contraseñas), la modificación o eliminación de registros y, en algunos casos, la ejecución de comandos del sistema operativo a través de la base de datos.
La inyección SQL lleva años en el OWASP Top 10. La defensa consiste en consultas parametrizadas (prepared statements), validación de entradas y revisiones periódicas de seguridad de código.