Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

SQL injection

SQL injection (spesso abbreviato in SQLi) è una tecnica mediante la quale utenti malintenzionati possono iniettare comandi SQL arbitrari in una query verso un database, sfruttando tipicamente come veicolo d’attacco errori nella convalida lato server dei dati inviati ad una pagina Web. Comandi SQL iniettati in questo modo possono compromettere seriamente la sicurezza di un’applicazione Web, consentendo ad un attaccante di ottenere privilegi di accesso elevati ad un DBMS o ad un sito e di visualizzare od alterare i dati in esso contenuti.