← Back to Home
Backend Security & Engineering

Bulletproofing Backends: Modern Techniques to Prevent SQL Injection Attacks

By Md. Abdullah (Ahyan) Published: June 2026

ওয়েব অ্যাপ্লিকেশন হ্যাকিং বা ডেটা লিক হওয়ার সবচেয়ে প্রাচীন এবং বিপজ্জনক আক্রমণ পদ্ধতির নাম হলো **SQL Injection (SQLi)**। OWASP টপ ১০ সিকিউরিটি রিস্কের তালিকায় এটি দীর্ঘ সময় ধরে শীর্ষস্থান দখল করে আছে। যখন একজন ডেভলপার কোনো ইউজারের ইনপুট করা ডেটাকে ফিল্টার না করে সরাসরি ডাটাবেজ কুয়েরির সাথে যুক্ত (String Concatenation) করে, তখনই এই মারাত্মক ব্যাকএন্ড লুপটি তৈরি হয়।

হ্যাকারেরা ইনপুট বক্সে মেলিসিয়াস পেলোড (যেমন: ' OR '1'='1) ইনজেক্ট করে পুরো ডাটাবেজের সম্পূর্ণ অ্যাক্সেস চুরি করতে পারে। আজকের গাইডে আমরা দেখবো কীভাবে এই অবহেলা বন্ধ করে কোড লেভেলে ১০০% ফুল-প্রুফ ডেটা সিকিউরিটি লেয়ার ইমপ্লিমেন্ট করা যায়।

১. নেতিবাচক উদাহরণ: ক্ষতিকর এবং অরক্ষিত কোড স্ট্রাকচার

প্রথমে দেখা যাক সাধারণ ডেভলপাররা অবহেলা করে কীভাবে ডাটাবেজ সিকিউরিটি নষ্ট করে। নিচে একটি চরম ঝুঁকিপূর্ণ পিএইচপি পিওডি কোড লুপ দেওয়া হলো:

// ❌ মারাত্মক অনিরাপদ কোড (SQL Injection Vulnerable)
$userInputEmail = $_POST['user_email'];

// ইউজার ইনপুট সরাসরি স্ট্রিং কনক্যাটিনেশন করা হয়েছে
$sqlQuery = "SELECT * FROM users WHERE email = '" . $userInputEmail . "'";
$result = $dbConnection->query($sqlQuery);

ধাপ ২: প্রফেশনাল সমাধান - Prepared Statements এবং Parameterization

এই আক্রমণের হাত থেকে ডাটাবেজকে বুলেটপ্রুফ করার একমাত্র বৈজ্ঞানিক উপায় হলো **Prepared Statements** বা প্রিপেইড কুয়েরি মেকানিজম ব্যবহার করা। এর মূল থিওরি হলো, ডাটাবেজ ইঞ্জিন কোড কম্পাইলেশন লেয়ার এবং ডাটা লেয়ার সম্পূর্ণ আলাদা করে ফেলে, ফলে ইউজার কোনো এক্সিকিউটেবল এসকিউএল কোড ইনজেক্ট করলেও ডাটাবেজ ইঞ্জিন সেটিকে শুধুই সাধারণ টেক্সট স্ট্রিং হিসেবে গণ্য করে।

নিচে কাস্টম PDO ব্যবহার করে নিরাপদ ইমপ্লিমেন্টেশন স্ক্রিপ্ট দেওয়া হলো:

//  নিরাপদ এবং সুরক্ষিত কোড (Prepared Statements Setup)
$userInputEmail = $_POST['user_email'];

// ডাইনামিক ডেটার জায়গায় প্লেসহোল্ডার (?) বা নেমড প্যারামিটার ব্যবহার করা
$stmt = $dbConnection->prepare("SELECT id, username, email FROM users WHERE email = :email");

// ডাটা আলাদা লেয়ারে বাইন্ড করা, ফলে ইনজেকশন অসম্ভব
$stmt->bindParam(':email', $userInputEmail, PDO::PARAM_STR);
$stmt->execute();

$userData = $stmt->fetchAll();

অতিরিক্ত ডিফেন্স-ইন-ডেপথ লেয়ার: শুধুমাত্র কুয়েরি প্যারামিটারাইজ করাই শেষ কথা নয়, এর পাশাপাশি নোড বা পিএইচপি ইঞ্জিনে ইনপুট ভ্যালিডেশন এবং ডাটাবেজ ইউজার পারমিশনের ক্ষেত্রে **Principle of Least Privilege** (ন্যূনতম ক্ষমতা নীতি) মেনে চলবেন। অর্থাৎ, অ্যাপ্লিকেশনের ডাটাবেজ ইউজারকে কখনোই রুট (Root/Admin) প্রিভিলেজ দেবেন না, শুধুমাত্র SELECT, INSERT এবং UPDATE পারমিশন অন রাখবেন।