Что такое SQL-инъекция?

SQL-инъекция – уязвимость приложения, при которой злоумышленник через вводимые данные вставляет свой SQL-код в выполняемый запрос. Это позволяет выполнить в базе нежелательные команды: например, получить конфиденциальную информацию («выкачать» таблицу пользователей) или изменить/удалить данные, обходя предусмотренные ограничения. Происходит это, когда входные строки некорректно фильтруются и напрямую подставляются в SQL – в результате часть введенного текста интерпретируется как команды SQL.