SQL Injection continua entre as vulnerabilidades mais exploradas do mundo mesmo em 2026. Apesar de ser um ataque conhecido ha mais de 20 anos, novos casos surgem diariamente. Entender como funciona e essencial para criar defesas eficazes e para testar suas proprias aplicacoes.
Como funciona o SQL Injection
SQL Injection ocorre quando dados fornecidos pelo usuario sao inseridos diretamente em uma consulta SQL sem sanitizacao adequada. O atacante manipula a query para executar comandos arbitrarios no banco de dados.
Exemplo classico de login vulneravel: uma aplicacao que monta a query concatenando o input do usuario diretamente na string SQL. Se o usuario enviar no campo de senha algo como a instrucao OR 1 igual a 1, a query retorna todos os registros e o atacante obtem acesso sem senha valida.
Tipos de SQL Injection: In-Band (classico) onde o resultado aparece diretamente na resposta. Union-Based usa UNION SELECT para extrair dados de outras tabelas. Error-Based extrai dados atraves de mensagens de erro do banco. Blind SQL Injection onde o resultado nao aparece na resposta. Boolean-Based faz perguntas de sim ou nao ao banco observando diferencas na resposta. Time-Based usa funcoes de delay como SLEEP ou WAITFOR para inferir dados. Out-of-Band envia dados para um servidor controlado pelo atacante via DNS ou HTTP.
Tecnicas avancadas de exploracao
Extrair schema do banco: usando INFORMATION_SCHEMA o atacante lista todos os bancos, tabelas e colunas disponiveis. Isso permite mapear completamente a estrutura do banco e identificar tabelas sensiveis como usuarios, pagamentos e configuracoes.
Leitura de arquivos: em MySQL com a funcao LOAD_FILE e possivel ler arquivos do sistema operacional ao qual o banco tem acesso. Isso pode revelar arquivos de configuracao com senhas, chaves de API e outros segredos.
Escrita de arquivos: com INTO OUTFILE o atacante pode escrever arquivos no servidor incluindo webshells que dao controle total sobre o sistema.
Escalonamento para execucao de comandos: em SQL Server, o procedimento xp_cmdshell permite executar comandos do sistema operacional diretamente pelo banco. Em PostgreSQL, COPY TO PROGRAM oferece funcionalidade similar.
Defesas eficazes contra SQL Injection
Prepared Statements sao a defesa numero um. Os dados do usuario sao tratados como parametros e nunca como parte do comando SQL. Todas as linguagens modernas suportam prepared statements. Em Python use placeholders com o cursor execute passando parametros separados. Em Node.js use parametros com interrogacao. Em PHP use PDO com prepare e execute.
ORMs como Sequelize, SQLAlchemy, Eloquent e Prisma abstraem as queries e usam prepared statements internamente. Mas cuidado com raw queries dentro do ORM que ainda podem ser vulneraveis.
Validacao de input no servidor: valide tipo de dado esperado (numero, email, data), tamanho maximo, formato com expressoes regulares e use whitelists quando possivel. Input validation e uma camada adicional de defesa nao substitui prepared statements.
Principio do menor privilegio no banco: a aplicacao deve conectar ao banco com um usuario que tem apenas as permissoes necessarias. Se a aplicacao so le dados, o usuario do banco nao precisa de permissao de INSERT, UPDATE ou DELETE. Nunca use o usuario root ou sa para a aplicacao.
WAF (Web Application Firewall): ferramentas como ModSecurity, AWS WAF e Cloudflare WAF detectam e bloqueiam tentativas de SQL Injection. Sao uma camada adicional de protecao porem nao substitui codigo seguro.
Testando suas aplicacoes
Ferramentas para testar SQL Injection nas suas aplicacoes (apenas em ambientes autorizados): sqlmap e a ferramenta de referencia para automacao de SQL Injection suportando deteccao e exploracao automatica. Burp Suite Professional tem scanner automatizado de vulnerabilidades web incluindo SQL Injection. OWASP ZAP e alternativa gratuita ao Burp para scanning automatizado.
Teste manual: tente inserir aspas simples nos campos de input e observe se a aplicacao retorna erros de SQL. Teste com operadores logicos como OR e AND. Verifique se campos numericos aceitam input nao numerico. Use comentarios SQL como dois hifens para tentar truncar queries.
Tem um projeto em mente?
Somos especialistas em transformar ideias em produtos digitais. Apps, sites, automações e IA — vamos construir juntos.
