Wat is SQL Injection? - Uitleg & Betekenis
Leer wat SQL injection is, hoe aanvallers databasekwetsbaarheden exploiteren en hoe je SQL injection voorkomt met parameterized queries en best practices.
Definitie
SQL injection is een cyberaanvaltechniek waarbij een aanvaller kwaadaardige SQL-code invoegt in invoervelden van een applicatie om ongeautoriseerde toegang te krijgen tot de onderliggende database. Het is een van de oudste en nog steeds meest voorkomende webkwetsbaarheden.
Technische uitleg
SQL injection ontstaat wanneer gebruikersinvoer ongevalideerd wordt opgenomen in SQL-queries. Bij een klassieke SQL injection manipuleert een aanvaller een WHERE-clausule door invoer als ' OR 1=1 -- in te voeren, waardoor de query alle records retourneert. Blind SQL injection gebruikt tijdsvertragingen of boolean-condities om data te exfiltreren wanneer directe output niet zichtbaar is. Second-order SQL injection slaat kwaadaardige invoer eerst op en voert deze later uit. De OWASP Top 10 plaatst injection al jaren op de eerste positie vanwege de hoge impact en prevalentie. De primaire verdediging is het gebruik van parameterized queries (prepared statements) die invoer strikt scheiden van SQL-code. ORM-frameworks zoals Prisma, Drizzle en SQLAlchemy bieden ingebouwde bescherming. Input validation, output encoding en het principe van least privilege voor databaseaccounts vormen aanvullende verdedigingslagen. Web Application Firewalls (WAF) detecteren en blokkeren verdachte SQL-patronen in HTTP-verzoeken. Regelmatige code-audits en SAST-tools identificeren potentiële injection-kwetsbaarheden vroeg in het ontwikkelproces.
Hoe MG Software dit toepast
Bij MG Software gebruiken we uitsluitend parameterized queries en ORM-frameworks die SQL injection by design voorkomen. Onze CI/CD-pipeline bevat geautomatiseerde SAST-scans die potentiële injection-kwetsbaarheden detecteren. We passen input validation toe op alle externe invoer en volgen het least-privilege principe voor databasetoegang. Code reviews bevatten specifieke checkpoints voor injection-preventie.
Praktische voorbeelden
- Een webshop waarbij een aanvaller via het zoekveld een SQL injection uitvoert en daarmee de volledige klantendatabase met e-mailadressen en gehashte wachtwoorden downloadt.
- Een beveiligingsonderzoeker die tijdens een pentest een blind SQL injection ontdekt in een loginformulier, waarmee karaktergewijs de admin-wachtwoordhash wordt geëxtraheerd.
- Een ontwikkelteam dat na een code-audit alle ruwe SQL-queries vervangt door parameterized queries via hun ORM, waarmee tientallen potentiële injection-punten worden geëlimineerd.
Gerelateerde begrippen
Veelgestelde vragen
Klaar om te starten?
Neem contact met ons op voor een vrijblijvend gesprek over uw project.
Neem contact opGerelateerde artikelen
Wat is Penetration Testing? - Uitleg & Betekenis
Leer wat penetration testing (pentesting) is, hoe ethisch hacken werkt en waarom pentests essentieel zijn voor het opsporen van kwetsbaarheden in uw systemen.
Wat is API Security? - Uitleg & Betekenis
Leer wat API security is, hoe je API's beveiligt met authenticatie, rate limiting en input validation, en waarom de OWASP API Security Top 10 belangrijk is.
Security Audit Template - Gratis Download & Voorbeeld
Download ons gratis security audit template. Bevat OWASP Top 10 checklist, penetratietest scope, kwetsbaarheden-rapportage en remediatie-plan. Beveilig je applicatie.
Wat is een API? - Uitleg & Betekenis
Leer wat een API (Application Programming Interface) is, hoe het werkt en waarom APIs essentieel zijn voor moderne softwareontwikkeling en integraties.