Een SQL-injectie is een aanval waarbij een hacker een SQL-opdracht gebruikt om een database te manipuleren en om toegang te verkrijgen tot mogelijk waardevolle data.

Wat is SQL injectie

Wat is SQL injectie?

Een SQL-injectie is een aanval waarbij een hacker een SQL-opdracht (Structured Query Language) gebruikt om een database te manipuleren en om toegang te verkrijgen tot mogelijk waardevolle data.
Het is een van de meest overheersende en dreigende aanvallen omdat deze bij alle webapplicaties of websites gebruikt kunnen worden die op een SQL gebaseerde database draaien.

Hoe werkt het?

Een SQL-opdracht is een verzoek dat naar een database wordt verstuurd met het ophalen van informatie of het uitvoeren van SQL-code als doel.
Denk hierbij bijvoorbeeld aan het controleren van inloginformatie die via een webformulier wordt ingevuld om een gebruiker toegang te geven tot een website. Als de gebruikersnaam en het bijbehorende wachtwoord is ingevoerd, wordt deze gecontroleerd in de database. De gebruiker krijgt toegang tot het systeem als de gegevens overeenkomen met de database.
Hackers kunnen van deze invulvelden gebruik maken door er sql commando's aan toe te voegen om een verzoek naar de database te sturen.

SQL injectie en Adelia Studio

Om vanuit Adelia sql injectie te voorkomen kunnen een aantal statements gebruikt worden:

SQL_SANITIZE (vanaf ptf06 voor Adelia Studio 13)
SQL_STATEMENT (vanaf ptf07 voor Adelia Studio 14)
BUILD_SQL_STMT (vanaf ptf07 voor Adelia Studio 14)

SQL injectie