Что такое SQL injection? Поиск определения SQL-инъекции

SQL injection (sql-инъекция) – это один из наиболее распространенных методов взлома веб-сайтов и ПО, работающих с базами данных. Этот метод основан на внедрении в запрос произвольного SQL-кода.

Внедрение кода, в зависимости от типа СУБД, которую использует программа или сайт, и условий внедрения, может дать возможность злоумышленнику выполнить любой произвольный запрос к базе. Например можно прочитать содержимое любых таблиц, или удалить, изменить или добавить данные. То есть внедривший код получает возможность чтения, записи локальных файлов и возможность выполнения произвольных команд на атакуемом сервере.

Данная атака может быть возможна из-за некорректной обработки входящих данных, которые используются в SQL-запросах.