SQL Injection

O que é, como funciona e como se proteger

SQL Injection é uma das técnicas de ataque mais comuns contra aplicações web que interagem com bancos de dados. Ele ocorre quando comandos SQL maliciosos são inseridos em campos de entrada de usuário, com o objetivo de manipular ou vazar dados da aplicação.

 

Como o ataque funciona

Imagine um formulário de login onde o backend executa a seguinte consulta ao banco de dados:

SELECT * FROM usuarios WHERE email = '$email' AND senha = '$senha'

Se o desenvolvedor não tratar adequadamente os dados fornecidos, um atacante pode digitar o seguinte no campo de email:

' OR 1=1 --

E qualquer valor qualquer no campo de senha, por exemplo:

abc

O SQL final executado seria:

SELECT * FROM usuarios WHERE email = '' OR 1=1 --' AND senha = 'abc'

Neste caso, o -- comenta o restante da query, e 1=1 sempre retorna verdadeiro. Isso faz com que o banco retorne todos os usuários e, dependendo da lógica do backend, o atacante pode entrar como o primeiro usuário da tabela (muitas vezes o administrador).

 

Outro exemplo: extraindo dados

Considere um campo de busca onde o código SQL é:

SELECT * FROM produtos WHERE nome LIKE '%$busca%'

Se o atacante enviar:

%' UNION SELECT nome, senha FROM usuarios --

O SQL resultante será:

SELECT * FROM produtos WHERE nome LIKE '%%' UNION SELECT nome, senha FROM usuarios --%'

Isso pode retornar dados sensíveis da tabela usuarios, como nomes e senhas (caso estejam em texto plano, o que já é outro problema).

 

Como se proteger

Use Prepared Statements (Consultas Preparadas)
Evite concatenar valores diretamente nas queries. Bibliotecas como PDO (PHP) ou ORM como Sequelize (Node.js), Eloquent (Laravel) e Hibernate (Java) oferecem suporte a esse recurso.

Valide e filtre entradas
Mesmo com consultas preparadas, é essencial validar e filtrar os dados que o usuário envia.

Use níveis de acesso restritos no banco
O usuário de banco de dados usado pela aplicação não deve ter permissões desnecessárias, como DROP TABLE ou ALTER.

Monitore e registre acessos suspeitos
Auditoria e logs ajudam a identificar tentativas de ataques.

 

SQL Injection é simples de executar e perigoso quando a aplicação está mal construída. Qualquer campo que interaja com o banco sem proteção é uma porta de entrada. A melhor defesa é a combinação de código seguro, consultas parametrizadas e validação rigorosa de entradas. Nunca confie nos dados que vêm do usuário, mesmo que o sistema pareça "interno" ou "controlado".

Todos os posts

Metadados

CVE

Keylogger

Fingerprint

Hash

Evil Twin

RCE

Buffer overflow

Criptografia

Esteganografia

DoS e DDoS

Brute force

Sniffers

Wireshark

Wifite

SQL Injection

XSS

VPN

Phishing

DNS Spoofing

Nmap

Pentest

Google Dorks

Hydra no Kali Linux

Inteligência Artificial

Quero ser programador

Engenharia social

Hackpedia Whitehats

Deep Web

Anonimato

WhiteHats tá falando

Bitcoin

Segurança digital

Novo site WhiteHats no ar!

Notícias recentes

Google Chrome corrige falhas exploradas por criminosos; atualize agora

Cuidado, há uma falha muito grave a afetar os smartphones da OnePlus

Sora da OpenAI atinge 1 milhão de downloads mais depressa que o ChatGPT

Investigação da OpenAI confirma que o ChatGPT mente deliberadamente

Inteligência Artificial prevê um futuro desigual para os carros elétricos na Europa, China e Estados Unidos

Spotify reforça regras para Inteligência Artificial na música

China proíbe empresas de tecnologia de comprar chips de Inteligência Artificial da NVIDInteligência Artificial

Wikipédia vai facilitar pesquisas de chatbots de Inteligência Artificial

Auditoria usa Inteligência Artificial, passa vergonha e devolve dinheiro de projeto

Ataque hacker faz Jaguar Land Rover parar produção no Reino Unido

Hackers manipulam Gemini a controlar casas via eventos de calendário

Google emite alerta sobre falhas sérias que afetam usuários de Android

Actualização do Windows causa prompts UAC excessivos

Microsoft sofre revés com falha grave em novo protocolo de Inteligência Artificial

Google confirma vazamento de dados, mas afirma ter contido o problema

Como o Google Gemini Pode Comprometer a Segurança da Sua Casa Inteligente

Atualização de segurança inesperada para o Galaxy S20 da Samsung

Google lança oficialmente Jules, seu assistente de programação com inteligência artificial

Lançamento do Linux Kernel Runtime Guard 1.0 Foca na Segurança

Google admite vazamento de dados no Salesforce ligado ao grupo hacker ShinyHunters

Google admite que hackers acessaram um de seus bancos de dados

Europa já tem um robô humanoide doméstico para competir com a Tesla

Hacker que ameaçou Felca e psicóloga é denunciado pelo MPSP

Banco Central anuncia novos limites para transferências via Pix após fraudes

Controle de acesso é principal fragilidade explorada em ataques hackers

Jogador recebe aviso que HD estava quase sem espaço e descobre que Steam criou arquivo de texto com quase 500 GB

Inteligência Artificial está a aumentar riscos de cibersegurança

Google faz chacota da Apple em novo comercial na web

Cloudflare acusa Perplexity de burlar regras da web

Quem encontrar falha grave no WhatsApp receberá US$ 1 milhão

Falso AnyDesk é usado para roubar dados pessoais e carteiras de criptomoedas

Google desmente falha de segurança no Gmail

Gigante brasileira tem R$ 710 milhões desviados em ataque ao sistema PIX

Hackers ameaçam alimentar Inteligência Artificial com conteúdo de artistas se site não pagar quantia que eles exigem

Hackers adolescentes paralisam produção da Jaguar Land Rover

Atualização da Apple corrige vulnerabilidade zero-day afetando Chrome

Novo ataque: hackers desviam quase R$ 5 milhões de fintech

Apple lança iOS 18.6.2 para corrigir risco de segurança

Golpe usa Office 365 para roubar credenciais de pessoas

Microsoft testa Inteligência Artificial que resume histórico do Edge, mas recurso pode custar US$ 20

HackPedia