ما هو حقن SQL؟
حقن SQL ثغرة يُدخل فيها المهاجم أوامر SQL خبيثة عبر مدخلات المستخدم التي يدمجها التطبيق مباشرةً في الاستعلام. قد يكشف البيانات أو يعدّلها أو يحذفها، وهو من أخطر مخاطر الويب باستمرار.
كيف يعمل الهجوم
إذا بنى التطبيق الاستعلام بدمج مدخلات المستخدم في نص، يستطيع المهاجم تقديم مدخلات تغيّر منطق الاستعلام — مثل تجاوز تسجيل الدخول أو سحب جدول كامل. السبب الجذري هو خلط البيانات غير الموثوقة بالكود.
كيف تمنعه
استخدم الاستعلامات ذات المعاملات (Prepared Statements) حتى لا تُفسَّر البيانات كأوامر. أضِف التحقق من المدخلات وحسابات قاعدة بيانات بأقل صلاحيات وأداة ORM تُعامِل المعاملات افتراضيًا. تطبّق ويبكس هذا افتراضيًا.
- استخدم دائمًا الاستعلامات ذات المعاملات
- تحقّق من المدخلات وقيّدها
- طبّق مبدأ أقل الصلاحيات لقاعدة البيانات
الأسئلة الشائعة
هل تمنع أداة ORM حقن SQL؟
غالبًا نعم عند الاستخدام الصحيح لأنها تُعامِل المعاملات. لكن الاستعلامات الخام داخل ORM قد تبقى عرضة إذا دمجت المدخلات.
كيف تحمي ويبكس من حقن SQL؟
تستخدم ويبكس الاستعلامات ذات المعاملات والتحقق من المدخلات وحسابات بأقل صلاحيات واختبارات أمنية على كل واجهة خلفية.