|
Jako, że SQL jest językiem interpretowanym, istnieje potencjał do nadużyć w przypadku konstruowania zapytań z wykorzystaniem parametrów pochodzących z zewnątrz aplikacji. Szczególnie podatne na ten typ ataku są tworzone dynamicznie w oparciu o SQL-ową bazę danych serwisy internetowe. Jeśli twórca aplikacji nie zadba o odpowiednią walidację danych wejściowych stanowiących część zapytania, atakujący może być w stanie dopisać do zapytania ("wstrzyknąć") dodatkowe komendy lub zmienić ich sposób działania. Atak taki nazywa się SQL injection (wstrzyknięcie kodu za pomocą SQL).
|
