SQL Injection Saldırısı Nedir ? Bir Örnek İle Açıklayınız

Merhabalar sayfamıza gelen bir öğrenci arkadaşımızın sorduğu soruyu cevapladık. İşte Cevabı ;

SQL Injection, vertabanını yok etmek amacıyla kullanılan bir kod püskürtme tekniğidir. Günümüzde en yaygın
web hack teniklerininden birisi olarak tanımlanmaktadır. Bu teknik web sayfalarında kullanıcılardan bilgi almak
amacıyla kullanılan html formları girişi yoluyla SQL ifadelerinde kötü amaçlı kod yerleştirmeye
dayanmaktadır. Örnek olarak, aşağıda gösterilen SQL ifadesinin amacı Users olarak adlandırılan bir tablodan
txtUserId = getRequestString(“UserId”);
txtSQL = “SELECT * FROM Users WHERE UserId = ” + txtUserId;
UserID şartını sağlayan kullanıcının seçilmesini sağlamaktır. Buna rağmen txtUserID olarak adlandırılan
değişkene 105 OR 1=1 şeklinde bir ifadenin atanılması durumunda SQL ifadesi
txtSQL = “SELECT * FROM Users WHERE UserId = 105 OR 1=1”;
olarak değişekecektir. Buda kötü amaçlı kişilerin Users tablosunda yer alan tüm kullanıcıların bilgisine
erişebilmesine olanak sağlayacaktır.