ایس کیو ایل انجکشن (انگریزی: SQL injection) کوڈ انجکشن کی ایک قسم ہے جس کے ذریعہ ویب سائٹ کی کسی سیکیوریٹی کمزوری (security vulnerability) کو نشانہ بنا کر اور اس کا غلط استعمال کیا جاتا ہے۔ یہ کمزوری ویب گاہ سافٹ ویئر کے کسی ڈیٹابیس لیئر میں موجود ہوتی ہے، حملہ آور انٹری فیلڈ میں ایس کیو ایل کی کیوریز درج کرتا ہے تاکہ ڈیٹابیس مواد تک رسائی حاصل ہو سکے۔[1]

Classification of SQL injection attack vectors in 2010
ایس کیو ایل انجکشن کی درجہ بندی 2010ء تک

2012ء میں ایک سیکیوریٹی کمپنی امپریوا (Imperva) نے مشاہدہ کیا ہے کہ ایک متوسط ویب اطلاقیہ کو ماہانہ چار حملوں کا سامنا رہتا ہے۔[2]

اقسام ترمیم

مخصوص رموز درست طور پر فلٹر نہ ہونا ترمیم

ایس کیو ایل انجکشن کا اس قسم کا حملہ اس وقت کامیاب ہوتا ہے جب صارف کی درج کردہ معلومات کو مخصوص رموز (Escape characters) سے درست طور پر فلٹر نہ کیا جائے۔

حوالہ جات ترمیم

  1. Microsoft۔ "SQL Injection"۔ 25 دسمبر 2018 میں اصل سے آرکائیو شدہ۔ اخذ شدہ بتاریخ 04 اگست 2013۔ SQL injection is an attack in which malicious code is inserted into strings that are later passed to an instance of SQL Server for parsing and execution. Any procedure that constructs SQL statements should be reviewed for injection vulnerabilities because SQL Server will execute all syntactically valid queries that it receives. Even parameterized data can be manipulated by a skilled and determined attacker. 
  2. Imperva (July 2012)۔ "Imperva Web Application Attack Report" (PDF)۔ اخذ شدہ بتاریخ 04 اگست 2013۔ Retailers suffer 2x as many SQL injection attacks as other industries. / While most web applications receive 4 or more web attack campaigns per month, some websites are constantly under attack. / One observed website was under attack 176 out of 180 days, or 98% of the time.