Covered by FixVibecritical

. SQL Injektión: Forða fyri ólógligari atgongd til dátugrunn ZXCVFIXVIBESEND ZXCVFIXVIBESEG1. Lær hvussu SQL-injektión (ZXCVFIXVIBETOKEN0ZXCV) ger, at álopsfólk kunnu skerja dátugrunnar og hvussu tey kunnu forða fyri tí við at brúka parametreraðar fyrispurningar. ZXCVFIXVIBESEND ZXCVFIXVIBESEG2. SQL-injektión (ZXCVFIXVIBETOKEN0ZXCV) er ein kritiskur sárbarleiki, har álopsfólk blanda seg uppí dátugrunnsfyrispurningar hjá einum forriti. Við at seta illgrunasama SQL-syntaks inn, kunnu álopsfólk umganga autentikatión, síggja viðkvæmar dátur sum loyniorð og gjaldskortupplýsingar, ella enntá skerja undirliggjandi ambætaran. ZXCVFIXVIBESEND ZXCVFIXVIBESEG3. ## Ávirkan av SQL-innspræning ZXCVFIXVIBESEND ZXCVFIXVIBESEG4. SQL-injektión (ZXCVFIXVIBETOKEN2ZXCV) ger, at ein álopsmaður kann blanda seg uppí fyrispurningarnar, sum eitt forrit ger til sín dátugrunn ZXCVFIXVIBETOKEN0ZXCV. Fremsta ávirkanin fevnir um ólógliga atgongd til viðkvæmar dátur so sum brúkaraloyniorð, gjaldskortupplýsingar og persónsupplýsingar ZXCVFIXVIBETOKEN1ZXCV. ZXCVFIXVIBESEND ZXCVFIXVIBESEG5. Handan dátustuðul kunnu álopsfólk ofta broyta ella strika dátugrunnsskráir, sum føra til áhaldandi broytingar í forritaatferð ella dátumiss ZXCVFIXVIBETOKEN0ZXCV. Í høgum álvarsligum førum kann ZXCVFIXVIBETOKEN3ZXCV eskalerast til at skerja bak-end infrakervið, gera denial-of-service álop møgulig, ella geva eina áhaldandi bakdyrnar inn í skipanirnar hjá fyritøkuni. ZXCVFIXVIBESEND ZXCVFIXVIBESEG6. ## Rótorsøk: Ótrygg inntøkuhandfaring ZXCVFIXVIBESEND ZXCVFIXVIBESEG7. Rótorsøkin til SQL-injektión er óhóskandi neutralisering av serligum elementum, sum verða nýtt í eini SQL-skipan ZXCVFIXVIBETOKEN0ZXCV. Hetta hendir, tá eitt forrit konstruerar SQL-fyrispurningar við at binda uttanífrá ávirkað input beinleiðis í fyrispurningsstreingin ZXCVFIXVIBETOKEN1ZXCVZXCVFIXVIBETOKEN2ZXCV. ZXCVFIXVIBESEND ZXCVFIXVIBESEG8. Av tí at inputið ikki er rætt isolerað frá fyrispurningsbygnaðinum, kann dátugrunnatulkurin útføra partar av brúkarainputinum sum SQL-kotu heldur enn at viðgera tað sum bókstavligar dátur ZXCVFIXVIBETOKEN3ZXCV. Hesin sárbarleikin kann vísa seg í ymsum pørtum av einum fyrispurningi, eitt nú ZXCVFIXVIBETOKEN0ZXCV-setningum, ZXCVFIXVIBETOKEN1ZXCV-virðum ella ZXCVFIXVIBETOKEN2ZXCV-setningum ZXCVFIXVIBETOKEN4ZXCV. ZXCVFIXVIBESEND ZXCVFIXVIBESEG9. ## Betongviðgerðir og avmarkingar ZXCVFIXVIBESEND ZXCVFIXVIBESEG10 ### Brúka parametreraðar fyrispurningar ZXCVFIXVIBESEND ZXCVFIXVIBESEG11 Tann mest effektivi mátin at fyribyrgja SQL-injektión er nýtsla av parametreraðum fyrispurningum, eisini kendar sum fyrireikaðar útsagnir ZXCVFIXVIBETOKEN0ZXCV. Í staðin fyri at binda streingir saman, skulu forritarar brúka struktureraðar mekanismur, sum tryggja skilnaðin av dátum og kodu ZXCVFIXVIBETOKEN1ZXCV. ZXCVFIXVIBESEND ZXCVFIXVIBESEG12 ### Meginregla um minsta framíhjárætt ZXCVFIXVIBESEND ZXCVFIXVIBESEG13 Forrit skulu seta seg í samband við dátugrunnin við at brúka tey lægstu rættindi, sum krevjast til teirra uppgávur ZXCVFIXVIBETOKEN0ZXCV. Ein vevforritakonta skal ikki hava fyrisitingarlig rættindi og skal vera avmarkað til tær ávísu talvurnar ella raksturin, sum er neyðugur til virksemið hjá henni ZXCVFIXVIBETOKEN1ZXCV. ZXCVFIXVIBESEND ZXCVFIXVIBESEG14 ### Inntøkugóðkenning og koding ZXCVFIXVIBESEND ZXCVFIXVIBESEG15 Meðan ikki ein avloysari fyri parametrisering, gevur input-validering verju-í-dýpdini ZXCVFIXVIBETOKEN0ZXCV. Forrit skulu brúka eina góðtaka-kenda-góða strategi, sum staðfestir, at input passar til væntað sløg, longdir og snið ZXCVFIXVIBETOKEN1ZXCV. ZXCVFIXVIBESEND ZXCVFIXVIBESEG16 ## Hvussu ZXCVFIXVIBETOKEN0ZXCV roynir fyri tí ZXCVFIXVIBESEND ZXCVFIXVIBESEG17 ZXCV fevnir longu um SQL-innspræning gjøgnum gated ZXCVFIXVIBETOKEN0ZXCV skannaramodulið. Virknar skanningar koyra bert eftir økiseigaraváttan og váttan. Kanningin skriðar GET endapunkt av sama uppruna við fyrispurningsparametrum, raðfestir eitt grundsvar, leitar eftir SQL-spesifikkum boolean frávikum og bert greiðir frá einum niðurstøðu eftir tíðarstaðfesting tvørtur um fleiri seinkingarlongdir. Goymsluskanningar hjálpa eisini til at fanga rótorsøkina fyrr gjøgnum ZXCVFIXVIBETOKEN1ZXCV, sum flagga rá SQL-kall bygd við sniðinterpolering.

SQL injection (SQLi) is a critical vulnerability where attackers interfere with an application's database queries. By injecting malicious SQL syntax, attackers can bypass authentication, view sensitive data like passwords and credit card details, or even compromise the underlying server.

CWE-89

Impact of SQL Injection

SQL injection (SQLi) allows an attacker to interfere with the queries that an application makes to its database [S1]. The primary impact includes unauthorized access to sensitive data such as user passwords, credit card details, and personal information [S1].

Beyond data theft, attackers can often modify or delete database records, leading to persistent changes in application behavior or data loss [S1]. In high-severity cases, SQLi can be escalated to compromise the back-end infrastructure, enable denial-of-service attacks, or provide a persistent backdoor into the organization's systems [S1][S2].

Root Cause: Unsafe Input Handling

The root cause of SQL injection is the improper neutralization of special elements used in an SQL command [S2]. This occurs when an application constructs SQL queries by concatenating externally-influenced input directly into the query string [S1][S2].

Because the input is not properly isolated from the query structure, the database interpreter may execute parts of the user input as SQL code rather than treating it as literal data [S2]. This vulnerability can manifest in various parts of a query, including SELECT statements, INSERT values, or UPDATE statements [S1].

Concrete Fixes and Mitigations

Use Parameterized Queries

The most effective way to prevent SQL injection is the use of parameterized queries, also known as prepared statements [S1]. Instead of concatenating strings, developers should use structured mechanisms that enforce the separation of data and code [S2].

Principle of Least Privilege

Applications should connect to the database using the lowest privileges required for their tasks [S2]. A web application account should not have administrative privileges and should be restricted to the specific tables or operations necessary for its function [S2].

Input Validation and Encoding

While not a replacement for parameterization, input validation provides defense-in-depth [S2]. Applications should use an accept-known-good strategy, validating that input matches expected types, lengths, and formats [S2].

How FixVibe tests for it

FixVibe already covers SQL injection through the gated active.sqli scanner module. Active scans only run after domain ownership verification and attestation. The check crawls same-origin GET endpoints with query parameters, establishes a baseline response, looks for SQL-specific boolean anomalies, and only reports a finding after timing confirmation across multiple delay lengths. Repository scans also help catch the root cause earlier through code.web-app-risk-checklist-backfill, which flags raw SQL calls built with template interpolation.