SQL-injektioner

SQL-injektion er et angreb, hvor en hacker skriver databasekommandoer ind i et helt almindeligt indtastningsfelt på din hjemmeside — et søgefelt, en login-boks, en kontaktformular — og narrer systemet til at køre dem som kommandoer i stedet for at behandle dem som tekst. Lykkes det, kan angriberen læse, ændre eller slette indholdet i din database, og i de værste tilfælde overtage hele systemet.

Det er en af de ældste og mest udbredte sårbarheder på nettet, og den rammer kundedata: ordrer, e-mails, adgangskoder, betalingsoplysninger. For dig betyder et vellykket angreb tabt data, mulige GDPR-bøder og et tillidsbrud over for de kunder, der regnede med, at deres oplysninger var sikre hos dig.

Hvad der lukker hullet

Den gode nyhed er, at SQL-injektion er en kendt og løsbar fejl. Den opstår, når kode er sjusket skrevet, og den forsvinder, når den skrives ordentligt:

• Parametriserede forespørgsler. Den vigtigste enkeltforanstaltning. Den tvinger systemet til altid at behandle brugerens indtastning som data — aldrig som kommandoer.
• Validering af input. Tjek at det indtastede har den forventede længde, type og form, før det rører databasen.
• Sparsomme fejlmeddelelser. Vis ikke besøgende, hvordan databasen er bygget. Den slags detaljer er en gave til en angriber.
• Opdateret software og en firewall til webapplikationer (WAF), der fanger de mest oplagte forsøg, før de når frem.

Bygges din løsning af folk, der kender de her principper, er det ikke noget, du skal tænke over til daglig. Det er et spørgsmål om håndværk fra starten — ikke et plaster, man sætter på bagefter.