LauckedLAUCKED
DiagnosticPentestGuardConformitéTarifs
Obtenir mon diagnostic · 48h
← retour · blog LauckedVulnérabilité · injection · long-read5 min
  1. Accueil
  2. /
  3. Blog
  4. /
  5. Injection SQL

Vulnérabilité · injection

Injection SQL : définition, exemples et prévention

L'injection SQL (SQLi) est une vulnérabilité qui permet à un attaquant d'insérer du code SQL malveillant dans une requête envoyée à la base de données. Classée parmi les risques critiques de l'OWASP Top 10, elle peut entraîner l'extraction complète des données, la modification de contenus ou la prise de contrôle du serveur.

  • SQLi
  • OWASP A03
  • Base de données
  • sqlmap
par Rayan Dib·17 avril 2026·5 min de lecture

Comment fonctionne une injection SQL ?

L'attaquant exploite un champ de saisie (formulaire, URL, API) dont les entrées ne sont pas validées. En injectant une chaîne comme ' OR 1=1 --, il modifie la logique de la requête SQL pour contourner l'authentification ou extraire des données.

Impact pour une PME

Une injection SQL réussie peut exposer la totalité de la base clients, les identifiants, les données de paiement ou les documents métier. Pour une PME, c'est un risque de notification CNIL (RGPD), de perte de confiance client et de coût de remédiation élevé.

Comment prévenir les injections SQL ?

  • Utiliser des requêtes paramétrées (prepared statements) systématiquement.
  • Valider et assainir toutes les entrées utilisateur côté serveur.
  • Appliquer le principe du moindre privilège sur les comptes de base de données.
  • Tester régulièrement avec un pentest incluant les vecteurs SQLi.

Exemple concret de SQLi

Un formulaire de login utilise la requête suivante côté serveur (PHP/Python) :

sql = "SELECT * FROM users WHERE email='" + email + "' AND pwd='" + pwd + "'"

Un attaquant saisit admin@x.com' -- dans le champ email. La requête devient :

SELECT * FROM users WHERE email='admin@x.com' -- ' AND pwd='...'

Le -- commente le reste. L'attaquant est authentifié comme admin sans connaître le mot de passe. Score CVSS typique : 9.1 (Critique).

Types d'injection SQL

  • In-band (classique) : la réponse SQL est renvoyée directement dans la page HTML — la plus facile à détecter.
  • Blind SQLi : l'application ne renvoie rien, mais le comportement (temps de réponse, présence d'un élément) dévoile la réponse — exploitable via sqlmap.
  • Out-of-band : exfiltration via DNS ou HTTP déclenchée par la base (INTO OUTFILE, xp_cmdshell) — plus rare mais dévastatrice.
  • Second-order : le payload est stocké en base puis exécuté lors d'une requête ultérieure — invisible dans les logs de formulaire.

Recevoir la checklist OWASP Top 10 (PDF imprimable)

Les 10 risques 2021 traduits en contrôles de remédiation à cocher pour vos équipes dev et sécurité. Indiquez votre email professionnel pour y accéder immédiatement.

FAQ Injection SQL

Les ORM (Prisma, Sequelize, Hibernate) protègent-ils automatiquement ?

À 95 %, oui. Le risque résiduel vient des $queryRaw, des WHERE construits à la main ou des fonctions de recherche full-text où le développeur concatène.

Un WAF peut-il bloquer toutes les SQLi ?

Non. Un WAF bloque les patterns évidents mais est contournable par encodage (URL, Unicode, commentaires MySQL /*!50000*/). Le code parametrisé reste la seule défense fiable.

Combien coûte une fuite de base clients pour une PME ?

Entre 50 000 € (PME < 50 employés) et 500 000 € (PME > 200 employés), selon IBM Cost of Data Breach 2025. Hors sanction CNIL et perte de clients. Voir notre article coût cyberattaque PME.

Faut-il tester manuellement les SQLi ou automatiser ?

Les deux. sqlmap détecte les SQLi triviales ; un pentester manuel trouve les second-order et les blind conditionnées au contexte métier. Laucked combine les deux.

Auteur

R

Rayan Dib · CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

OSCPOSEP·LinkedIn ↗

À lire ensuite

  1. 01OWASP Top 10 — A03:2021 Injectionréférentiel→
  2. 02XSS (Cross-Site Scripting)vulnérabilité→
  3. 03Score CVSS — comprendre la notationscoring→
  4. 04Rapport de pentest — exemple completlivrable→
  5. 05Pentest web et API Lauckedservice→

Étape suivante

Besoin d’un pentest ?

Chez Laucked, nous testons vos applications web, API et intégrations sensibles avec une méthodologie OWASP/PTES. Diagnostic de surface gratuit, rapport sous 48-72 h.

Demander un diagnostic gratuitVoir la méthodologie
LauckedLAUCKED

Diagnostic de surface, pentest expert (web, API, IA) et Guard pour les PME françaises exposées.

Bât. Gamma, 11 Bd Déodat de Séverac

31770 Colomiers (Toulouse)

+33 6 95 27 70 36
6 certifications et qualifications →
Ils nous font confiance
Occi ServicesStorees+ missions sous NDA →

« Rapport opposable, clair pour la direction et actionnable côté tech. »CEO · retail PME · pentest web 2026

200+
pentests réalisés
40+
vulns critiques
10+
PME accompagnées

Produit

  • Diagnostic gratuit
  • Guard, suivi post-pentest
  • Exemple de rapport pentest
  • Comparatifs neutres
  • Cas d'usage PME
  • Pentest PME
  • Pentest Toulouse
  • Pentest Lyon
  • Pentest Bordeaux
  • Pentest Marseille
  • Pentest Montpellier
  • Pentest Nantes
  • Conformité
  • Méthodologie
  • Tarifs
  • Sécurité

Ressources

  • Blog
  • Références
  • Presse

Entreprise

  • À propos
  • Centre de confiance
  • Auteur
  • Contact
Laucked SAS · SIREN 907 522 304 · Tournefeuille
© 2026 Laucked. Tous droits réservés.
Politique de confidentialitéConditions d'utilisationAddendum de traitement des données