SQL-инъекция (или SQLi) обычно упоминается как наиболее распространенный тип атаки на веб-сайты, который заключается во внедрении в запрос произвольного SQL кода. Это понятие широко используется хакерами и тестировщиками проникновений веб-ресурсов. В списке “OWASP Top Ten” (топ 10 самых актуальных уязвимостей приложений) SQL Injection находится в числе других инъекций и занимает первое место среди них, поэтому важно знать как защитить свой ресурс от данной уязвимости. Хотя о пагубном влиянии SQL-инъекции известно больше двух десятков лет, не все сайты и приложения имеют защиту от них...

SQL-инъекция происходит, когда пользовательский ввод напрямую вставляется в SQL-запрос без соответствующей фильтрации или экранирования. Злоумышленник может передать вредоносный SQL-код, который изменит поведение запроса. Допустим, у нас есть веб-форма для входа в систему: username = input("Введите имя пользователя: ") password = input("Введите пароль: ") query = f"SELECT * FROM users WHERE username = '{username}' AND password = '{password}'" Если пользователь введёт: ' OR '1'='1 Запрос примет...