O que é uma Injeção SQL (SQLI) ?
Injeção SQL (SQL Injection ou SQLi) é uma vulnerabilidade de segurança em aplicações web que permite a um atacante inserir comandos SQL maliciosos em campos de entrada (formulários, URLs, cookies ou cabeçalhos HTTP), com o objetivo de manipular a base de dados da aplicação.
Trata-se de uma das falhas mais antigas e perigosas da segurança na internet, ainda hoje responsável por roubo massivo de dados, compromissos de lojas online e violações graves de privacidade.
Porque a Injeção SQL acontece
A SQLi ocorre quando a aplicação:
Constrói queries SQL dinamicamente
Não valida nem filtra corretamente os dados fornecidos pelo utilizador
Insere diretamente esses dados numa query SQL
Ou seja, o sistema confia em dados não confiáveis.
Exemplo simplificado (conceitual)
...