Back حقن اس كيو ال Arabic SQL inyeksiyası Azerbaijani এসকিউএল ইনজেকশন Bengali/Bangla Injecció SQL Catalan SQL injection Czech SQL-Injection German Έγχυση SQL Greek SQL injection English Inyección SQL Spanish SQL injekzio Basque
SQL injection (fra engelsk at indskyde) er et angreb rettet mod databaselaget i en applikation, ved at indskyde fjendtlig SQL kode i et SQL-kald. Angrebet udnytter en sårbarhed i håndteringen af brugerinput og databasekald. Hvis brugerens input ikke renses for specielle tegn og sætninger, kan applikationens databasekald blive manipuleret til at få en anden effekt end den ønskede. Dette kunne eksempelvis være uautoriseret administratoradgang til en websted.
SQL injection-angreb er ofte rettet mod hjemmesider med HTML-formularer, men kan rettes mod alle applikationer der har brugerinput og databasefunktionalitet.
I operationelle miljøer, er det blevet bemærket at applikationerne gennemsnitligt oplevede 71 angrebsforsøg i timen. Under angreb har nogen applikationer undertiden været oppe i et niveau, hvor de har oplevet 800-1300 angreb i timen. SQL injection tilskrives i øvrigt 83% af succesfulde hackerrelaterede brud på datasikkerheden[1].
- ^ SQL Injection by the numbers set 15. maj 2012