حمله SQL Injection و راه‌های مقابله با آن

با گسترش روزافزون وب‌سایت‌ها و اپلیکیشن‌های تحت وب، امنیت داده‌ها به یکی از مهم‌ترین چالش‌های دنیای فناوری اطلاعات تبدیل شده است. یکی از رایج‌ترین و خطرناک‌ترین روش‌های حمله به پایگاه‌های داده، SQL Injection یا تزریق SQL است. این نوع حمله نه تنها می‌تواند منجر به افشای اطلاعات محرمانه شود، بلکه گاهی امکان تغییر یا حتی حذف کامل داده‌ها را نیز برای مهاجم فراهم می‌سازد.

SQL Injection چیست؟

SQL Injection یک تکنیک حمله است که در آن مهاجم، دستورات SQL مخرب را از طریق ورودی‌های کاربر (مانند فرم‌ها، URL یا کوکی‌ها) به برنامه وارد می‌کند. اگر برنامه ورودی‌ها را به درستی اعتبارسنجی و فیلتر نکند، دستورات مهاجم مستقیماً در پایگاه داده اجرا شده و نتایج مورد نظر او حاصل می‌شود.

مثال ساده از SQL Injection

فرض کنید کدی مانند زیر برای ورود کاربر نوشته شده باشد:

SELECT * FROM users WHERE username = 'input' AND password = 'input';

اگر کاربر در قسمت نام کاربری مقدار زیر را وارد کند:

' OR '1'='1

کوئری به شکل زیر تغییر می‌کند:

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '';

در این حالت، شرط همیشه درست بوده و مهاجم می‌تواند بدون داشتن رمز عبور وارد سیستم شود.

انواع حملات SQL Injection

۱. Classic SQL Injection

در این نوع حمله، مهاجم به‌طور مستقیم دستورهای مخرب SQL را از طریق ورودی‌های کاربر (مانند فرم ورود، نوار جستجو یا URL) وارد می‌کند. اگر برنامه بدون هیچ فیلتری داده‌ها را به کوئری اضافه کند، پایگاه داده دستورات اضافی را اجرا می‌کند. این نوع حمله معمولاً ساده‌ترین و شناخته‌شده‌ترین شکل تزریق SQL است و در صورت موفقیت، می‌تواند امکان دسترسی کامل به اطلاعات را فراهم کند.

۲. Blind SQL Injection

در حملات Blind، برنامه پیام خطا یا نتیجه واضحی به کاربر نمایش نمی‌دهد، بنابراین مهاجم نمی‌تواند به‌طور مستقیم ساختار پایگاه داده را ببیند. او مجبور است از روش‌های آزمون و خطا یا پرس‌وجوهای منطقی (مانند درست یا غلط بودن یک شرط) استفاده کند تا اطلاعات را مرحله به مرحله به دست آورد. این حمله زمان‌بر است، اما همچنان بسیار خطرناک محسوب می‌شود.

۳. Error-based SQL Injection

این حمله زمانی رخ می‌دهد که برنامه در صورت اجرای کوئری نادرست، پیام خطاهای پایگاه داده را نمایش دهد. مهاجم از این پیام‌ها برای شناسایی نام جداول، ستون‌ها یا نوع پایگاه داده استفاده می‌کند. به‌طور مثال، اگر خطا نشان دهد که ستون مشخصی وجود ندارد، مهاجم می‌تواند از همین سرنخ برای ادامه حمله و کشف ساختار دیتابیس استفاده کند.

۴. Union-based SQL Injection

در این روش، مهاجم از دستور UNION در SQL برای ترکیب نتایج چند کوئری استفاده می‌کند. با این کار می‌تواند داده‌های جداول دیگر را نیز به خروجی اصلی برنامه اضافه کند. به‌عنوان نمونه، اگر برنامه فقط نتایج جدول کاربران را نمایش دهد، مهاجم با UNION می‌تواند داده‌های جدول دیگری مثل شماره کارت‌های بانکی را نیز دریافت کند.

۵. Time-based SQL Injection

در این نوع حمله، پاسخ پایگاه داده بر اساس زمان‌بندی کنترل می‌شود. به این صورت که مهاجم یک دستور شرطی زمان‌دار (مانند SLEEP(5)) به کوئری تزریق می‌کند. اگر پاسخ برنامه با تأخیر مواجه شود، مهاجم متوجه می‌شود که کوئری اجرا شده و ضعف امنیتی وجود دارد. این روش بیشتر برای تست وجود یا عدم وجود SQL Injection در شرایطی که داده‌ای مستقیماً نمایش داده نمی‌شود، استفاده می‌شود.

پیامدهای SQL Injection

• دسترسی غیرمجاز به داده‌های حساس (اطلاعات کاربران، کارت‌های بانکی، ایمیل و …)
• تغییر یا حذف داده‌ها
• ایجاد حساب کاربری مخرب در سیستم
• دسترسی به سطح مدیریتی پایگاه داده یا سیستم عامل
• آسیب جدی به اعتبار سازمان

راه‌های مقابله با SQL Injection

1. استفاده از Queryهای پارامتری (Prepared Statements):

• • به جای قرار دادن مستقیم ورودی کاربر در کوئری، باید از پارامترهای امن استفاده کرد.

  • مثال در زبان PHP (با PDO):

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
$stmt->execute(['username' => $username, 'password' => $password]);

2-استفاده از ORM (Object Relational Mapping):

فریم‌ورک‌هایی مانند Django، Hibernate یا Entity Framework، تا حد زیادی جلوی تزریق SQL را می‌گیرند.

3-اعتبارسنجی و فیلتر ورودی‌ها:

ورودی‌ها باید از نظر نوع داده (عددی، متنی، ایمیل و …) بررسی و محدود شوند.

4-حداقل‌سازی سطح دسترسی پایگاه داده:

کاربر پایگاه داده که توسط برنامه استفاده می‌شود، نباید دسترسی مدیریتی (Admin) داشته باشد.

5-استفاده از Stored Procedure (با رعایت اصول امنیتی):

برخی دستورات می‌توانند در پایگاه داده به شکل از پیش تعریف‌شده ذخیره شوند تا دستورات دلخواه تزریق نشوند.

6-مخفی کردن پیام‌های خطا:

پیام‌های خطا نباید مستقیماً به کاربر نمایش داده شوند، چون می‌توانند اطلاعات ساختار پایگاه داده را فاش کنند.

7-به‌روزرسانی مداوم سیستم‌ها و فریم‌ورک‌ها:

بسیاری از آسیب‌پذیری‌ها ناشی از نسخه‌های قدیمی نرم‌افزارها هستند.

8-استفاده از فایروال وب (WAF):

فایروال‌های وب می‌توانند تا حدی درخواست‌های مشکوک را فیلتر کنند.

وب‌سایت‌ها و سامانه‌هایی که به‌واسطه حملات SQL Injection هک شده‌اند

سرویس ایمیل Cock.li (از آسیب‌پذیری در Roundcube)

• در گزارشی از ژوئن ۲۰۲۵، سرویس ایمیل Cock.li تأیید کرد که بیش از یک میلیون حساب کاربری آن به‌واسطه‌ی آسیب‌پذیری SQL Injection در پلتفرم Roundcube (با شناسه CVE-2021-44026) هک شده‌اند. مهاجمان با بهره‌گیری از این ضعف امنیتی، اطلاعاتی مانند آدرس‌های ایمیل، زمان‌های ورود، تنظیمات زبان و تنظیمات کاربری سریالی‌شده کاربران را استخراج کردند. علاوه بر این، برای حدود ۱۰٬۴۰۰ حساب، اطلاعات اضافی همچون نام مخاطبین، وکت‌های مجازی (vCard) و یادداشت‌های کاربران نیز افشا شده‌اند. این موضوع منجر به حذف Roundcube از زیرساخت سرویس‌دهنده و تصمیم برای کنار گذاشتن دائمی آن شد.

Sony Pictures

• در سال ۲۰۱۱، گروه هکری LulzSec با استفاده از ضعف‌های امنیتی از جمله SQL Injection توانست به پایگاه داده وب‌سایت‌های وابسته به Sony Pictures نفوذ کند. در این حمله، اطلاعات شخصی بیش از یک میلیون کاربر شامل نام‌ها، رمزهای عبور و ایمیل‌ها افشا شد. گزارش‌ها نشان داد که داده‌ها بدون رمزنگاری یا با سطح امنیتی بسیار پایین ذخیره شده بودند و همین موضوع میزان خسارت را افزایش داد. این حمله ضربه بزرگی به اعتبار Sony در آمریکا و سراسر جهان وارد کرد.

نتیجه‌گیری

SQL Injection همچنان یکی از بزرگ‌ترین تهدیدات امنیتی برای وب‌سایت‌ها و اپلیکیشن‌های تحت وب است. مقابله با آن نیازمند رعایت اصول امنیتی در تمام مراحل توسعه نرم‌افزار، از طراحی پایگاه داده گرفته تا کدنویسی و پیکربندی سرور است. با پیاده‌سازی صحیح روش‌هایی مانند کوئری‌های پارامتری، اعتبارسنجی ورودی‌ها و استفاده از ORM، می‌توان تا حد زیادی خطر این حمله را کاهش داد.