SQL injekcia je typ kybernetického útoku, pri ktorom útočník vloží škodlivý SQL kód do vstupného poľa alebo dotazu v aplikácii, aby získal neautorizovaný prístup k databáze alebo manipuloval s jej obsahom. Tento typ útoku je možný, ak aplikácia neoveruje správne vstupy používateľa a priamo ich využíva na zostavenie SQL dotazov.
SQL injekcia môže mať rôzne formy, vrátane:
- Útok na čítanie dát: Útočník môže získať citlivé údaje, ako sú používateľské mená, heslá alebo osobné údaje.
- Útok na manipuláciu s dátami: Útočník môže meniť, pridávať alebo odstraňovať dáta v databáze.
- Útok na vykonávanie príkazov: Útočník môže vykonávať príkazy na úrovni servera, čo môže viesť k úplnému prevzatiu kontroly nad systémom.
Prevencia SQL injekcie zahŕňa správne používanie parametrizovaných dotazov alebo pripravených príkazov, ktoré oddelia SQL kód od vstupných údajov, a dôkladné overovanie a sanitačné techniky na kontrolu vstupov.
