Struktūrinės užklausos kalbos (SQL) injekcija yra atakos tipas, kuris beveik visada bandomas prieš svetainę, kuri yra pagrįsta duomenų baze. Tai yra pastangos įterpti kenkėjišką kodą į svetainės SQL užklausas, kad būtų trukdoma tvarkyti duomenis, sunaikinant, keičiant arba atskleidžiant duomenis, saugomus svetainę valdančios duomenų bazės lentelėse. SQL yra standartinė programavimo kalba, naudojama duomenų bazėse saugomiems duomenims kurti, atnaujinti ir nuskaityti.
SQL injekcijos atakų pavojai yra daug ir dažnai labai pražūtingi, kai jie sėkmingai vykdomi. Kibernetiniams nusikaltėliams gali būti atskleista jautri informacija, pvz., kredito kortelių numeriai, asmens medicininiai įrašai, vartotojų vardai ir slaptažodžiai tokioms paskyroms kaip internetinė bankininkystė ir el. paštas, taip pat įvairių tipų identifikavimo numeriai. Nors duomenų vagystė tikriausiai yra pagrindinis kiekvieno, bandančio naudoti SQL injekciją, tikslas, tai nėra vienintelė motyvacija naudoti šią ar bet kokią kitą kodo įterpimo techniką, pvz., scenarijų sudarymą tarp svetainių. Svetainės, kurioje rodoma jiems nepatinkanti informacija, lankytojai gali bandyti SQL injekcijos atakas, kad išjungtų svetainę, pavogtų duomenis arba pakeistų duomenis, kad sunaikintų žmonių, dirbančių už svetainę, misiją.
Kartais SQL injekcijos ataką prieš svetainę bando įvykdyti nepatenkintas lankytojas, kurio paskyrą svetainės savininkai galėjo užblokuoti, kuris pavydi svetainės populiarumo arba siekia sunaikinti asmens, kurio, jo manymu, verslą internete. būti priešu. Akivaizdu, kad norint pradėti SQL injekcijos ataką, reikia turėti SQL žinių, tačiau jos paprastai nėra laikomos labai sunkiai išmokstama kalba, palyginti su kitomis programavimo kalbomis, be to, daug ką galima pasiekti turint tik pagrindinį, bet tvirtą naudojimo supratimą. tai. Tai reiškia, kad yra nemažai žmonių, naršončių internete, turinčių reikiamų įgūdžių bandyti įvesti SQL į svetainę.
Žiniatinklio kūrėjai, ypač tie, kurie specializuojasi galinėje žiniatinklio kūrimo srityje, yra atsakingi už tai, kad jų programuojamos svetainės būtų apsaugotos nuo SQL injekcijos. Beveik visada yra daugiau nei vienas būdas pasiekti tokį svarbų saugumą, ir dauguma tų būdų yra laikomi paprastais, bet labai veiksmingais sprendimais. Pavyzdžiui, kūrėjas gali naudoti funkciją mysql_real_escape_string() arba paruoštus teiginius, kai rašo scenarijus hiperteksto pirminio procesoriaus (PHP) kalba. Pasirinktus apsisaugojimo nuo atakų metodus reikia atidžiai apsvarstyti, nes net nustatant apsaugą negalima nepaisyti visos svetainės veikimo.