Atak SQL Injection w ASP.NET MVC

SQL Injection - wstrzyknięcie dodatkowej części do zapytania SQL.

Ataki typu SQL injection polegają na dołączeniu dodatkowych parametrów do zapytania wykonywanego na bazie danych. Występuje zazwyczaj w przypadku przekazywania parametrów w adresie url. Najpopularniejszym sposobem jest dodanie do wyrażenia where id=1 dodatkowej części or 1=1, powoduje to, że wyrażenie jest zawsze prawdziwe i zamiast otrzymania tylko jednego wyniku dla konkretnego id, otrzymujemy wszystkie dane. Nowoczesne ORMy jak Entity Framework są zabezpieczone przed tego typu atakami. Dane przekazywane w parametrach muszą być konkretnego typu, co blokuje możliwość zastosowania SQL Injection. Nie oznacza to jednak pełnego bezpieczeństwa, niebezpieczeństwo nadal występuje przy zwykłych zapytaniach SQL oraz procedurach składowanych, które należy zabezpieczać w inny sposób.