Внедрение SQL-кода (англ. SQL injection, SQL-инъекция) это один из видов уязвимостей веб-приложений, которому подвержены как реляционные базы данных, так и NoSQL.
Ресурсы по SQL Injection
- Статья «How security flaws work: SQL injection» («К чему приводят бреши в безопасности: внедрение SQL») это доступное вступление для начинающих. В статье раскрывается история этой уязвимости, рассказывается, в чем опасность внедрения SQL-кода злоумышленниками, а также объясняется, как работают необезвреженные запросы к базе данных.
- В статье «Preventing SQL injections» («Предупреждаем внедрение SQL-кода») вы найдете пример того, как можно предотвратить SQL-инъекции при работе с PostgreSQL и psycopg2.
- Статья «Securing your site like it’s 1999» («Защита сайта как в 1999 году») рассказывает о многих уязвимостях веб-приложений, включая SQL-инъекции. Пусть название вас не смущает: статья была написана в конце 1998 года, но в 2018 обновлена.