🚨 SQL Injection (Injeção de SQL): o básico que todo dev precisa saber
🔴 O que é?
É quando dados do utilizador são inseridos diretamente na query SQL, permitindo ao atacante alterar a lógica da consulta.
❌ Exemplo inseguro:
SELECT * FROM users WHERE email = '$email' AND senha = '$senha';
Se o atacante usar:
email: ' OR 1=1 -- → faz login sem senha.
⚠️ Como é explorado?
• Bypass de autenticação
• Leitura de dados sensíveis
• Alteração ou eliminação de dados
• Em casos graves: execução de comandos no servidor
✅ Como evitar:
• Usar Prepared Statements / Parameterized Queries
• Nunca concatenar strings em SQL
• Validar e sanitizar inputs
• Princípio do menor privilégio no DB user
• WAF como camada extra (não substitui código seguro)
🔐 Conclusão:
SQL Injection não é bug “avançado” — é falha básica de segurança que ainda causa grandes incidentes.
Top comments (0)