SQL-injectie

Definitie

SQL-injectie is een aanvalstechniek waarbij kwaadaardige SQL-code wordt ingevoerd in een invoerveld van een webapplicatie om ongeoorloofde toegang te krijgen tot de onderliggende database.

Bij SQL-injectie misbruikt een aanvaller onveilige invoerverwerking in een webapplicatie. Door speciaal geconstrueerde SQL-opdrachten mee te sturen in formulieren of URL-parameters kan een aanvaller databasequery's manipuleren.

Gevolgen zijn onder meer het uitlezen van alle databasegegevens (inclusief wachtwoorden), het aanpassen of verwijderen van records en in sommige gevallen het uitvoeren van besturingssysteemopdrachten via de database.

SQL-injectie staat al jaren in de OWASP Top 10. Verdediging bestaat uit parameterized queries (prepared statements), input validatie en regelmatige code security reviews.

Gerelateerde termen

DEFION Security helpt organisaties hiermee: