شرح حقن SQL (وكيفية الوقاية منه) — 2026
7 يونيو 2001 · بواسطة Pentevo
حقن SQL (اختصارًا SQLi) واحد من أقدم ثغرات الويب وأشدّها ضررًا — ولا يزال يظهر في OWASP Top 10 ضمن فئة «الحقن». وهذا شرح يركّز على الدفاع: ما هو، ولماذا يحدث، وكيف توقفه نهائيًا.
الفكرة الجوهرية
تبني تطبيقات الويب استعلامات قاعدة البيانات باستخدام مدخلات المستخدمين. فإذا مُزِجت تلك المدخلات مباشرةً في الاستعلام كـكود بدل معاملتها كـبيانات، أمكن للمهاجم تغيير ما يفعله الاستعلام.
من حيث المبدأ، قد يقارن فحص تسجيل الدخول اسم مستخدم وكلمة مرور. فإذا لم تُفصَل المدخلات عن بنية الاستعلام، أمكن لمدخلات مُعدّة أن تغيّر منطق الاستعلام — مثل تحويل شرط إلى شرط صحيح دائمًا فيتجاوز الفحص. والمثال التعليمي الكلاسيكي مدخل مثل ' OR '1'='1، وهو يوضّح كيف تغيّر المدخلات غير المُرمَّزة معنى الاستعلام.
الخلاصة ليست الحمولة — بل السبب الجذري: مدخلات غير موثوقة تُفسَّر كأنها كود.
لماذا هو بهذه الخطورة
قد يتيح حقن SQL الناجح للمهاجم قراءة قواعد بيانات كاملة (بيانات اعتماد ومعلومات شخصية)، وتعديل السجلات أو حذفها، وأحيانًا التوغّل أعمق داخل النظام. وكثير من تسريبات البيانات الكبرى يعود إليه.
الأنواع الرئيسية
- داخل النطاق (In-band) — تعود النتائج مباشرةً في استجابة التطبيق (الأسهل رصدًا).
- الأعمى (Blind) — لا يُظهر التطبيق النتائج، فيستنتج المهاجمون الإجابات من السلوك أو التوقيت.
- خارج النطاق (Out-of-band) — تُهرَّب البيانات عبر قناة منفصلة.
كيف تمنعه (الجزء الذي يهمّ)
- الاستعلامات المعلَّمة / العبارات المُحضَّرة. هذا الإصلاح رقم واحد — تعامل قاعدة البيانات المدخلات كبيانات صرفة لا كودًا أبدًا. استخدمها في كل مكان.
- أُطر ORM مستخدَمة بشكل صحيح — معظم الأُطر الحديثة تُعلِّم الاستعلامات نيابةً عنك؛ لا تلتفّ عليها باستعلامات مبنيّة من نصوص خام.
- التحقق من المدخلات — اسمح بالصيغ المتوقعة عبر قائمة سماح (لكن التحقق مكمِّل لا بديل عن التعليم).
- الصلاحية الأدنى — يجب أن يمتلك حساب قاعدة بيانات التطبيق ما يحتاجه من وصول فقط.
- جدار حماية تطبيقات الويب (WAF) — طبقة إضافية مفيدة، لكن لا تكن دفاعك الوحيد أبدًا.
كيف يُكتشف
يسبر المختبِرون (والأدوات المدفوعة بالذكاء الاصطناعي) المدخلات لمعرفة ما إذا كان التطبيق يفصل البيانات عن الكود — بأمان، وضمن نطاقات مصرَّح بها. وأدوات مثل Burp Suite تساعد على رسم المدخلات واختبارها. الهدف دائمًا أن تكتشف وتُصلح قبل أن يفعل المهاجم — راجع ما هو اختبار الاختراق؟.
تعلّم أمن تطبيقات الويب كما ينبغي، مجانًا، في أكاديمية Pentevo.
الأسئلة الشائعة
ما هو حقن SQL؟
حقن SQL (اختصارًا SQLi) ثغرة في الويب تدخل فيها مدخلات المستخدم مباشرةً كأنها كود داخل استعلام قاعدة البيانات بدل معاملتها كبيانات. عندها يستطيع المهاجم تغيير ما يفعله الاستعلام — مثل تحويل شرط إلى شرط صحيح دائمًا لتجاوز فحص ما. والسبب الجذري هو أن المدخلات غير الموثوقة تُفسَّر كأنها كود.
كيف نمنع حقن SQL؟
الإصلاح الأهم هو الاستعلامات المعلَّمة أو العبارات المُحضَّرة (Prepared Statements): تعامل قاعدة البيانات المدخلات كبيانات صرفة لا كودًا أبدًا. استخدمها في كل مكان. وأكمِلها باستخدام أُطر ORM استخدامًا صحيحًا، والتحقق من المدخلات بقوائم سماح، ومبدأ الصلاحية الأدنى لحساب قاعدة البيانات، وجدار حماية تطبيقات الويب (WAF) كطبقة إضافية لا كدفاع وحيد.
لماذا حقن SQL خطير إلى هذا الحد؟
قد يتيح حقن SQL الناجح للمهاجم قراءة قواعد بيانات كاملة (بيانات اعتماد ومعلومات شخصية)، وتعديل السجلات أو حذفها، وأحيانًا التوغّل أعمق داخل النظام. وكثير من تسريبات البيانات الكبرى يعود إليه.
ما أنواع حقن SQL؟
هناك ثلاثة أنواع رئيسية. في النوع داخل النطاق (In-band) تعود النتائج مباشرةً في استجابة التطبيق، وهو الأسهل رصدًا. وفي النوع الأعمى (Blind) لا يُظهر التطبيق النتائج، فيستنتج المهاجمون الإجابات من السلوك أو التوقيت. وفي النوع خارج النطاق (Out-of-band) تُهرَّب البيانات عبر قناة منفصلة.
مقالات ذات صلة
أهم 10 مخاطر في OWASP، مشروحة ببساطة (2026)
جولة مبسّطة في قائمة OWASP Top 10 لأهم مخاطر أمن تطبيقات الويب — ماذا تعني كل فئة وكيف يخفّفها المدافعون.
Fundamentalsشرح هجمات البرمجة عبر المواقع (XSS) — 2026
ما هي هجمات XSS، وأنواعها الثلاثة الرئيسية (المخزَّنة، والمنعكسة، والقائمة على DOM)، وأثرها، وكيف يمنعها المطوّرون. دليل واضح يركّز على الدفاع.
Fundamentalsشرح الـ VPN: ماذا يفعل (وماذا لا يفعل) — 2026
كيف يعمل الـ VPN فعلًا، ومِمّ يحميك، ومِمّ لا يحميك، وكيف تختار واحدًا — دون مبالغات التسويق.
Fundamentalsما هو اختبار الاختراق؟ دليل المبتدئين (2026)
دليل مبسّط لاختبار الاختراق: ما هو، والمراحل الخمس، وأنواعه الرئيسية، وكيف يختلف عن فحص الثغرات.
طبّق هذا عمليًا
أكاديمية Pentevo تحوّل هذه المفاهيم إلى دروس موجّهة وفيديوهات واختبارات — مجانًا.
ابدأ التعلّم مجانًا