Вы создали веб-приложение, запустили его, всё работает. Пользователи довольны, база растёт. И вдруг — сайт перестаёт отвечать, а в логах фигурирует команда DROP TABLE. Это значит одно: проект стал жертвой SQL-инъекции.
Этот тип атаки остаётся одной из самых опасных уязвимостей в веб-разработке. Один некорректно обработанный ввод — и злоумышленник может не просто просмотреть данные, а стереть их полностью или получить доступ к другим таблицам. Разберёмся, как защититься.
Что такое SQL-инъекция
SQL-инъекция — это способ внедрения вредоносных SQL-команд через поля ввода. Например, в форму поиска книги пользователь вводит ID. Запрос выглядит так:
SELECT * FROM books WHERE id = 'ID';
Если вместо числа ввести строку
42'; DROP TABLE books; --,
сервер воспримет это как два отдельных запроса: сначала выборка книги, а затем удаление таблицы.
Всё, что идёт после --, считается комментарием и игнорируется.
Так одной строкой можно уничтожить всю базу.
Первый барьер — подготовленные выражения
Основной метод защиты — использование параметризованных запросов. Вместо того чтобы подставлять данные напрямую в SQL, нужно использовать плейсхолдеры и передавать значения отдельно. База воспримет их как данные, а не как часть команды.
В PHP это реализуется через PDO или MySQLi. Например:
$pdo = new PDO($dsn, $user, $pass);
$sql = "SELECT * FROM users WHERE login = :login AND password = :password";
$stmt = $pdo->prepare($sql);
$stmt->execute([
'login' => $_POST['login'],
'password' => $_POST['password']
]);
Запрос остаётся неизменным, а параметры подставляются безопасно. Даже если злоумышленник попытается внедрить SQL-код, он будет обработан как текстовое значение, без выполнения.
Контроль ввода
Валидация пользовательских данных — вторая линия защиты. Веб-приложение не должно доверять ни одному вводу. Всё, что поступает извне, нужно проверять: тип, длину, формат.
Для чисел — это ctype_digit() или filter_var() в PHP.
Для e-mail — фильтры валидации. Для паролей и логинов — регулярные выражения.
Важно не использовать чёрные списки — они уязвимы. Только белые списки и жёсткие ограничения. И даже при использовании подготовленных запросов желательно обрезать пробелы, экранировать HTML и очищать данные до передачи в бизнес-логику.
О том, как правильно настроить iptables и nftables на уровне сервера — рассказывали здесь.
Ограничение прав доступа
Никогда не подключайтесь к базе под root-доступом. Создавайте отдельного пользователя с минимально необходимыми правами. Если приложению нужно только читать и писать — не давайте права на удаление или изменение структуры. Это не спасёт от самой инъекции, но ограничит последствия.
Дополнительные уровни защиты
Если атака идёт не только на БД, но и на веб-приложение в целом — подключаем защиту по всем уровням
- WAF (веб-аппликационный фаервол) позволяет фильтровать подозрительные запросы ещё до их обработки. Он распознаёт шаблоны атак и блокирует потенциальную угрозу. Среди решений — Cloudflare, ModSecurity и другие.
- Следите за обновлениями: фреймворки, СУБД, CMS — всё должно быть актуальным. Уязвимости появляются даже в популярных инструментах, и они быстро становятся известны хакерам.
- И наконец — бекапы. Они не предотвращают взлом, но позволяют быстро восстановить данные. Настройте регулярные резервные копии. Лучше, если хостинг предоставляет автоматическое создание и хранение снапшотов.
BitNinja защищает сервер от попыток внедрения вредоносных скриптов, инъекций и бот-сканеров.
Установим и настроим
Узнать больше → Используя BitNinja вы защищаете сервер от вредоносных действий
Что выбрать для безопасного старта
Если проект только запускается, не стоит экономить на базовых мерах защиты. Используйте фреймворки, которые по умолчанию применяют подготовленные запросы (например, Laravel или Django). Они снижают риск типичных ошибок. Интеграция ORM решает часть задач автоматически, но и ручной код должен быть написан с соблюдением всех правил.
Комментарий от Webhost1
Надёжная защита начинается с правильной инфраструктуры. На серверах Webhost1 можно не только настроить WAF и автообновления, но и использовать резервные копии, которые хранятся отдельно от основной системы. Наши VPS/VDS с изоляцией процессов и предустановленной безопасной средой позволяют сократить риски с первого дня.