SQL Injection

SQL Injection là gì?

SQL Injection (SQLi) là một kỹ thuật tấn công an ninh nơi kẻ tấn công có thể chèn mã SQL độc hại vào các truy vấn SQL, qua đó kiểm soát cơ sở dữ liệu của ứng dụng web. Bằng cách này, chúng có thể truy xuất, thay đổi, thậm chí xóa dữ liệu bất hợp pháp mà không cần sự cho phép của người dùng hợp pháp.

Nguyên lý hoạt động của SQL Injection

Các nhà phát triển thường tạo các truy vấn SQL bằng cách kết hợp dữ liệu từ người dùng vào các câu lệnh SQL. Nếu không thực hiện kiểm tra hoặc thoát ký tự đúng cách, kẻ tấn công có thể khai thác lỗ hổng này bằng cách nhập các đoạn mã SQL độc hại thông qua các biểu mẫu đầu vào, URL, hoặc các phương thức tương tác khác.

Cú pháp SQL Injection

Cú pháp thực tế cho SQL Injection phụ thuộc vào câu lệnh SQL mà ứng dụng sử dụng. Dưới đây là một ví dụ giả định về cách mà một truy vấn SQL có thể bị tấn công:

SELECT * FROM users WHERE username = '[input]' AND password = '[input]';

Nếu người dùng nhập dữ liệu như sau:

Username: admin' -- 
Password: anything

Truy vấn sẽ trở thành:

SELECT * FROM users WHERE username = 'admin' -- ' AND password = 'anything';

Trong trường hợp này, đoạn "--" là ký tự dùng để comment trong SQL, điều này làm cho phần sau của truy vấn bị bỏ qua, cho phép kẻ tấn công truy cập vào tài khoản của người dùng "admin" mà không cần mật khẩu đúng.

Ví dụ về SQL Injection

Ví dụ 1: Lấy thông tin người dùng

Giả sử chúng ta có một ứng dụng với câu lệnh sau:

SELECT * FROM students WHERE id = '[input]';

Người dùng có thể nhập:

1 OR 1=1

Bằng cách này, truy vấn sẽ trở thành:

SELECT * FROM students WHERE id = '1' OR 1=1;

Truy vấn này sẽ trả về tất cả các bản ghi trong bảng "students" vì điều kiện "1=1" luôn đúng.

Ví dụ 2: Xóa dữ liệu

Giả sử ứng dụng có một câu lệnh xóa người dùng như sau:

DELETE FROM users WHERE username = '[input]';

Tấn công từ phía kẻ tấn công có thể nhập:

' OR '1'='1

Truy vấn sẽ là:

DELETE FROM users WHERE username = '' OR '1'='1';

Điều này có thể dẫn đến việc xóa toàn bộ bản ghi trong bảng "users" nếu không được kiểm soát đúng cách.

Cách phòng ngừa SQL Injection

Để phòng ngừa SQL Injection, các nhà phát triển nên thực hiện những biện pháp sau:

Sử dụng Prepared Statements (Prepared Statements): Sử dụng các câu lệnh đã chuẩn bị cho phép tách biệt giữa dữ liệu và mã SQL.
Validation dữ liệu đầu vào: Kiểm tra và lọc dữ liệu được nhập từ người dùng để đảm bảo tính hợp lệ.
Sử dụng ORM (Object-Relational Mapping): Các framework ORM thường tự động xử lý các vấn đề liên quan đến SQL Injection.
Thực hiện quyền truy cập hạn chế: Đảm bảo rằng tài khoản cơ sở dữ liệu chỉ có quyền tối thiểu cần thiết cho hoạt động của ứng dụng.

Kết luận

SQL Injection là một lỗ hổng bảo mật nguy hiểm có thể gây ra thiệt hại lớn cho ứng dụng và dữ liệu. Việc hiểu rõ về cách thức hoạt động của SQL Injection và áp dụng các biện pháp phòng ngừa là rất quan trọng để bảo vệ ứng dụng và người dùng khỏi các nguy cơ tiềm ẩn.

Trần Minh Khoa

Khoa là một Backend Developer & System Architect với hơn 10 năm kinh nghiệm trong lĩnh vực lập trình backend, tối ưu hệ thống và phát triển kiến trúc phần mềm. Tôi có chuyên môn sâu về các ngôn ngữ backend phổ biến và từng tham gia nhiều dự án phát triển ứng dụng web, API, microservices với khả năng mở rộng cao. Bài này tôi viết với thời gian đọc khoảng 5 phút.