SQL injection is a technique for exploiting web applications that use client-supplied data in SQL queries without stripping potentially harmful characters first. Despite being remarkably simple to protect against, there is an astonishing number of production systems connected to the Internet that are vulnerable to this type of attack. The objective of this paper is to educate the professional security community on the techniques that can be used to take advantage of a web application that is vulnerable to SQL injection, and to make clear the correct mechanisms that should be put in place to protect against SQL injection and input validation problems in general.</div> <div class="id-app-translated-desc" style="display:none">SQL injection è una tecnica per sfruttare le applicazioni web che utilizzano dati fornite dal client di query SQL senza togliere caratteri potenzialmente dannosi prima. Pur essendo molto semplice per la protezione contro, vi è un numero sorprendente di sistemi di produzione connessi a Internet che sono vulnerabili a questo tipo di attacco. L'obiettivo di questo lavoro è quello di educare la comunità di sicurezza professionale sulle tecniche che possono essere utilizzate per sfruttare una applicazione web che è vulnerabile a SQL injection, e chiarire i meccanismi giusti che devono essere poste in atto per proteggere SQL problemi di iniezione e di convalida dell'input in generale.</div> <div class="show-more-end">