Group IB

SQL-инъекции

SQL-инъекции или внедрение SQL-кода — это распространенный вид атаки на сайты или базы данных. Он заключается во вставке в атакуемый фрагмент кода, который позволяет выполнить произвольный запрос от злоумышленника. После этого атакующий может вносить изменения в содержащиеся в базе данные, удалять и добавлять их по своему усмотрению.

Целью SQL-инъекции может стать любое приложение на основе реялционной базы данных. В частности внедрение кода возможно в Oracle, MySQL, PostgreSQL и SQL Server. Если данные нельзя напрямую взять из приложения, но можно определить его состояние в зависимости от заданного в запросе условия, такую SQL-инъекцию называют слепой.

SQL-инъекции — угроза, которую разработчики всегда стремятся держать в поле зрения. Для защиты используются белые списки, обрабатываемые переменные и другие методы защиты.