SQL Injection nasıl oluşur?


SQL Injection, kullanıcıdan gelen verinin doğrudan SQL sorgusuna eklenmesiyle oluşur. Saldırgan bu veriye SQL parçaları ekleyerek sorgunun anlamını değiştirmeye çalışır. Sonuç veri sızıntısı, yetkisiz giriş veya veri silme olabilir.



Prepared statement mantığı


Prepared statement, sorgu yapısını ve kullanıcı verisini birbirinden ayırır. Veritabanı önce sorgu şablonunu hazırlar, sonra parametreleri veri olarak işler. Böylece kullanıcı girdisi SQL komutu gibi çalışmaz.



PDO ile güvenli kullanım


PHP projelerinde PDO prepared statement kullanımı temiz ve güvenlidir. $pdo->prepare() ile sorgu hazırlanır, execute() ile parametreler gönderilir. Bu yaklaşım arama, login, listeleme ve güncelleme işlemlerinde standart olmalıdır.



Sadece escape yeterli mi?


Manuel escape yöntemleri hataya açıktır. Karakter seti, bağlam ve geliştirici dikkatsizliği riski artırır. Modern projelerde varsayılan refleks prepared statement olmalıdır.



Ek güvenlik önlemleri



  • Veritabanı kullanıcısına minimum yetki ver.

  • Hata mesajlarını kullanıcıya ham şekilde gösterme.

  • Admin sorgularında da prepared statement kullan.

  • Loglarda şüpheli sorgu denemelerini izle.

  • WAF ile SQLi payloadlarını ayrıca takip et.