Difesa Online
Breaking
Venerdì 15 maggio 2026, ore 10:30 (diretta): “Europa nel disordine globale” 14 maggio 1955: nasce il Patto di Varsavia, l’alleanza che blindò l’Est La guerra dei droni: l’arsenale russo tra componenti cinesi, tecnologia occidentale e guerra ibrida Verso il 2027: la U.S. Navy prepara la flotta per la guerra con la Cina Hormuz, Teheran rivendica due missili contro unità navale USA: nessuna conferma da Washington Il prezzo della pace: oggi il Donbass, domani le Hawaii? L’Italia riceve da Rheinmetall il primo sistema di difesa aerea Skynex Vigilanza privata, Cecconi (AISS): «Chi viola le regole tradisce un intero settore» Mosca sotto attacco: l’eliminazione del generale Sarvarov e le ombre sui negoziati 18 dicembre 1941: la Notte di Alessandria, un’impresa leggendaria Il mortaio da 81mm americano cambia categoria? KNDS e Leonardo: accordo per lo sviluppo congiunto di un nuovo programma Accademia Aeronautica: consegnati i gradi di sottotenente agli aspiranti del Corso Drago VI Avvicendamento al comando della brigata paracadutisti “Folgore” Venerdì 15 maggio 2026, ore 10:30 (diretta): “Europa nel disordine globale” 14 maggio 1955: nasce il Patto di Varsavia, l’alleanza che blindò l’Est La guerra dei droni: l’arsenale russo tra componenti cinesi, tecnologia occidentale e guerra ibrida Verso il 2027: la U.S. Navy prepara la flotta per la guerra con la Cina Hormuz, Teheran rivendica due missili contro unità navale USA: nessuna conferma da Washington Il prezzo della pace: oggi il Donbass, domani le Hawaii? L’Italia riceve da Rheinmetall il primo sistema di difesa aerea Skynex Vigilanza privata, Cecconi (AISS): «Chi viola le regole tradisce un intero settore» Mosca sotto attacco: l’eliminazione del generale Sarvarov e le ombre sui negoziati 18 dicembre 1941: la Notte di Alessandria, un’impresa leggendaria Il mortaio da 81mm americano cambia categoria? KNDS e Leonardo: accordo per lo sviluppo congiunto di un nuovo programma Accademia Aeronautica: consegnati i gradi di sottotenente agli aspiranti del Corso Drago VI Avvicendamento al comando della brigata paracadutisti “Folgore”

Attacco SQL Injection: di che si tratta?

Alessandro Rugolo Alessandro Rugolo · · 2 min di lettura
MBDA Stratus

Quante volte avete sentito parlare di SQL Injection e vi siete ripromessi di capire di che si tratta, senza poi avere il tempo o la voglia di farlo?

Se avete tre minuti, provo a spiegarvelo io, in modo semplice.

Partiamo dal nome: SQLi, SQL Injection o, per esteso (in una delle possibili interpretazioni), “Structured Query Language Injection” è un tipo di attacco nei confronti del database di un’applicazione web che consiste nella esecuzione di una interrogazione malevola. Per completezza aggiungo che SQL è il linguaggio standard impiegato per interagire un database relazionale.

Ma cosa significa? Direte voi. 

Facciamo un esempio pratico. Pensate ad una pagina web di un sito di commercio online, in cui generalmente è possibile eseguire la ricerca e selezione di un prodotto da acquistare. Spesso nella casella di ricerca è possibile inserire delle stringhe di testo che includono dei simboli o dei caratteri speciali. Ebbene alcuni caratteri a noi possono sembrare innocui ma ciò non vale per il database che li interpreta in tutt’altro modo.

Cosa può accadere se si è vittima di un attacco SQLi?

Purtroppo può accadere di tutto.

Se i controlli sulle possibili interrogazioni del database sono sbagliati (o come capita ancora di vedere, inesistenti) è possibile che i dati contenuti al suo interno vengano modificati, cancellati, copiati o anche cifrati. Passare poi dal database ad altre aree del sistema non è difficile per cui un attaccante dotato di tempo e un minimo di risorse e conoscenze informatiche può fare veramente molti danni.

SQLi è uno degli attacchi più conosciuti e che ancora oggi funziona, principalmente a causa della cattiva programmazione delle pagine web in cui, come già accennato, non sono eseguiti i corretti controlli su ciò che un utente del sito può inserire come richiesta.

Questo tipo di attacco è noto pubblicamente almeno dal 1998, grazie all’articolo “NT Web Technology Vulnerabilities” uscito su Phrack a firma di Rain Forest Puppy, pseudonimo di Jeff Forristal, hacker ed esperto di sicurezza mondiale.

Per approfondire:

– http://phrack.org/issues/54/8.html

– https://www.esecurityplanet.com/networks/how-was-sql-injection-discovered/

– https://owasp.org/www-community/attacks/SQL_Injection

Articoli Correlati

Sostieni il Giornalismo Indipendente

Difesa Online è libero e accessibile a tutti grazie ai lettori come te. Ogni contributo ci aiuta a continuare il nostro lavoro di informazione e analisi.

€5 Caffè 📰 €15 Inchiesta 🛡️ €30 Sostenitore €50 Champion 💝 Altro Importo libero
Dona ora con PayPal

Pagamento sicuro e protetto

Testo:
Ti piace quello che leggi? Sostieni Difesa Online con una donazione
Dona ora