17. februára 2026

Čo je SQL Injection? Kompletný sprievodca útokmi a prevenciou

Čo je SQL Injection? Kompletný sprievodca útokmi a prevenciou

Ten nepríjemný pocit, keď si nie ste istí, či sú vaše databázové dotazy skutočne bezpečné, je pre mnohých vývojárov dobre známy. Jediný neošetrený vstup od používateľa môže byť všetko, čo útočník potrebuje na prelomenie obrany vašej aplikácie a premenu jednoduchého prihlasovacieho formulára na katastrofálne narušenie dát. Tento strach často pramení z jednej z najstarších a najničivejších webových zraniteľností: SQL injection (SQLi). Je to ten typ pretrvávajúcej hrozby, ktorá môže útočníkom umožniť obísť autentifikáciu, ukradnúť citlivé údaje používateľov a dokonca prevziať úplnú kontrolu nad vaším databázovým serverom.

Ale nemusíte programovať so strachom. Táto komplexná príručka je navrhnutá tak, aby vám poskytla hlboké porozumenie útokom SQL injection. Rozoberieme presne to, ako útočníci využívajú tieto nedostatky a preskúmame rôzne typy SQLi, s ktorými sa stretnete v praxi. Čo je dôležitejšie, poskytneme vám praktické, moderné techniky prevencie - ako sú parametrizované dotazy - aby ste mohli písať kód, ktorý je bezpečný už od návrhu. Na konci budete mať istotu, že môžete vytvárať odolné aplikácie a chrániť najcennejšie dáta vašej spoločnosti a vašich používateľov.

Kľúčové poznatky

  • Naučte sa, ako útočníci manipulujú s webovými formulármi a adresami URL, aby oklamali databázu vašej aplikácie a prinútili ju odhaliť citlivé údaje.
  • Objavte priame spojenie medzi jedinou chybou v kóde a katastrofálnymi obchodnými dôsledkami, ako sú rozsiahle narušenia dát.
  • Osvojte si primárnu obranu proti SQL injection tak, že budete so všetkými údajmi odoslanými používateľmi zaobchádzať ako s nedôveryhodnými a implementujete bezpečné techniky kódovania.
  • Choďte nad rámec prevencie pochopením kľúčových rozdielov medzi manuálnym testovaním a automatizovaným skenovaním, aby ste proaktívne našli skryté chyby.

Čo je to SQL Injection? (Vysvetlené pomocou jednoduchej analógie)

Predstavte si, že vojdete do knižnice a dáte knihovníčke lístok, aby vám našla knihu. Na lístku je napísané: "Prosím, prineste mi knihu od autora Smith." Knihovníčka sa presne riadi vašimi pokynmi. Ale čo keby ste jej dali šikovne vytvorený lístok, na ktorom by bolo napísané: "Prosím, prineste mi knihu od autora Smith' OR '1'='1." Počítačový systém spracovávajúci túto požiadavku by mohol interpretovať časť 'OR '1'='1' ako príkaz. Keďže '1'='1' je vždy pravda, inštrukcia systému sa zmení na "Nájdite knihu od Smitha ALEBO nájdite akúkoľvek knihu, kde sa 1 rovná 1," a mohla by vám odovzdať každú knihu v knižnici.

Toto je podstata SQL injection (SQLi) útoku. Ide o zraniteľnosť webovej bezpečnosti, ktorá útočníkovi umožňuje zasahovať do dotazov, ktoré aplikácia vykonáva do svojej databázy. Vložením škodlivého kódu SQL (Structured Query Language) do dátového vstupného poľa môže útočník oklamať aplikáciu, aby vykonávala nezamýšľané príkazy, potenciálne pristupovala k citlivým údajom, upravovala obsah databázy alebo dokonca prevzala kontrolu nad celým serverom.

Ak to chcete vidieť v akcii, pozrite si túto vynikajúcu ukážku obídenia prihlásenia:

Klasickým príkladom je obídenie prihlasovacieho formulára. Typická, zraniteľná aplikácia môže kontrolovať prihlasovacie údaje pomocou dotazu ako:

SELECT * FROM users WHERE username = '[USERNAME]' AND password = '[PASSWORD]';

Útočník nemusí poznať platné používateľské meno alebo heslo. Namiesto toho môže zadať payload ako ' OR '1'='1' -- do poľa používateľského mena. Aplikácia potom vytvorí a vykoná nasledujúci škodlivý dotaz:

SELECT * FROM users WHERE username = '' OR '1'='1' --' AND password = '[PASSWORD]';

Podmienka '1'='1' je vždy pravdivá a syntax -- zakomentuje zvyšok dotazu a ignoruje kontrolu hesla. Databáza vráti prvého používateľa v tabuľke a útočník je úspešne prihlásený, zvyčajne ako administrátor.

Hlavná príčina: Miešanie kódu a dát

Táto zraniteľnosť existuje, pretože aplikácia mieša údaje poskytnuté používateľom priamo s vykonateľným kódom SQL. Často sa to deje prostredníctvom jednoduchého spájania reťazcov, kde je vstup priamo vložený do reťazca dotazu. Napríklad v jazyku na strane servera môže zraniteľný kód vyzerať takto:

query = "SELECT * FROM users WHERE username = '" + userInput + "';"

Keď userInput obsahuje škodlivý kód SQL, databáza nerozozná zamýšľaný príkaz od príkazu vloženého útočníkom. Bezpečnou alternatívou je ponechať štruktúru dotazu oddelenú od dát pomocou techniky nazývanej parametrizované dotazy.

Prečo je SQL Injection jednou z najväčších webových zraniteľností?

Už desaťročia zostáva SQL injection jednou z hlavných hrozieb v popredných zoznamoch zraniteľností webovej bezpečnosti z niekoľkých kľúčových dôvodov. Je neuveriteľne rozšírená a ovplyvňuje aplikácie napísané v ľubovoľnom jazyku, ktorý interaguje s databázou SQL. Dopad je závažný; úspešný útok môže viesť k úplnej exfiltrácii, modifikácii alebo vymazaniu dát. Napriek tomu, že ide o dobre známy problém so známymi riešeniami, vývojári stále bežne robia túto chybu, čím zabezpečujú, že zostáva pretrvávajúcou a nebezpečnou hrozbou.

Anatómia útoku SQLi: Ako útočníci kradnú vaše dáta

Útok SQL injection nie je jediný, priamy útok; je to metodický proces prieskumu a zneužívania. Útočníci sa riadia jasným, viacstupňovým postupom, aby premenili malú zraniteľnosť na rozsiahle narušenie dát. Pochopenie týchto krokov je kľúčové pre ich rozpoznanie a prevenciu.

Typický útok sa odohráva v troch odlišných fázach:

  • Krok 1: Nájdenie zraniteľných vstupov. Útočníci prehľadávajú webovú aplikáciu a hľadajú akýkoľvek vstup ovládateľný používateľom, ktorý by mohol byť odovzdaný priamo do databázového dotazu. Medzi bežné ciele patria parametre URL (napr. ?productID=123), vyhľadávacie polia, prihlasovacie formuláre a dokonca aj HTTP cookies.
  • Krok 2: Získavanie informácií o databáze. Po nájdení potenciálneho vstupného bodu útočník odošle sériu malých, škodlivých dotazov na získanie informácií. Cieľom je určiť typ databázy (MySQL, PostgreSQL atď.), verziu a vymenovať názvy tabuliek a stĺpcov, čím sa vytvorí mapa dát, ktoré chcú ukradnúť.
  • Krok 3: Vytvorenie payloadu. Vyzbrojený znalosťou štruktúry databázy, útočník vytvorí finálny payload. Často to zahŕňa použitie príkazu UNION na kombináciu ich škodlivého dotazu s legitímnym dotazom aplikácie. To im umožňuje extrahovať citlivé údaje, ako sú používateľské mená a heslá, z iných tabuliek a zobraziť ich na stránke.

In-Band SQLi: Najbežnejší útok

In-Band je najpriamejší útok, kde útočník používa rovnaký kanál na spustenie útoku a zobrazenie výsledkov. To zahŕňa SQLi založené na chybách, ktoré vynucujú podrobné chybové hlásenia na odhalenie štruktúry databázy, a SQLi založené na UNION, ktoré pripájajú výsledky škodlivého dotazu priamo k legitímnemu výstupu, pričom exfiltrujú dáta na dohľad.

Inferential (Blind) SQLi: Pomalší, skrytejší útok

Keď aplikácia nevracia dáta alebo chyby priamo, útočníci sa uchyľujú k Blind SQLi. Informácie odvodzujú pozorovaním odozvy aplikácie na sériu vytvorených dotazov. To sa deje prostredníctvom útokov založených na Boolovskej logike (položením otázok true/false) alebo útokov založených na čase, kde je databáza inštruovaná, aby sa pozastavila na niekoľko sekúnd, ak je podmienka pravdivá.

Out-of-Band SQLi: Keď iné metódy zlyhajú

Táto pokročilá technika sa používa, keď sú odozvy servera nestabilné, čo bráni iným metódam. Útočník prinúti databázu vytvoriť out-of-band sieťové pripojenie (ako je požiadavka HTTP alebo DNS) k serveru, ktorý kontroluje. Ukradnuté dáta sa potom odošlú cez tento druhý kanál, čím sa obídu obranné mechanizmy front-endu webovej aplikácie. Je to zriedkavá, ale účinná forma SQL injection.

Obchodný dopad: Prečo môže byť jedna zraniteľnosť katastrofálna

Aj keď sú technické detaily SQL injection dôležité, jej skutočné nebezpečenstvo spočíva v ničivom dopade, ktorý môže mať na podnikanie. Jediná zraniteľnosť nie je len riadok zlého kódu; je to priama hrozba pre vašu finančnú stabilitu, vzťahy so zákazníkmi a celkovú reputáciu. Keď útočník úspešne zneužije chybu SQLi, získa neoprávnený prístup k citlivým údajom, ktoré vaša spoločnosť chráni.

Dôsledky sa šíria smerom von a ovplyvňujú každý aspekt vašej organizácie. Bezprostredné následky často zahŕňajú kaskádu nákladných a škodlivých udalostí, vrátane:

  • Rozsiahle narušenia dát: Útočníci môžu exfiltrovať celé databázy zákazníkov, pričom odhalia citlivé osobné údaje (PII), čísla kreditných kariet a prihlasovacie údaje.
  • Závažné finančné sankcie: Regulačné orgány ukladajú vysoké pokuty za zlyhania v oblasti ochrany údajov. Pokuty podľa nariadení ako GDPR a CCPA môžu dosiahnuť milióny dolárov, čo predstavuje významnú časť ročných príjmov.
  • Strata dôvery zákazníkov: Narušenie dát je zásadné porušenie dôvery. Zákazníci pravdepodobne presunú svoje podnikanie inde, čo vedie k dlhodobej strate príjmov a sťažuje získavanie nových zákazníkov.
  • Poškodenie značky a reputácie: Správy o narušení môžu spôsobiť nenapraviteľné škody na imidži vašej značky, pričom vás v očiach verejnosti, partnerov a investorov postavia do pozície nezabezpečenej a nespoľahlivej spoločnosti.

Prípadová štúdia: Skutočné náklady na narušenie spôsobené SQLi

V roku 2015 utrpela britská telekomunikačná spoločnosť TalkTalk rozsiahly útok, ktorý začal jednoduchou zraniteľnosťou SQL injection. Útočníci získali prístup k osobným údajom takmer 157 000 zákazníkov a k bankovým údajom viac ako 15 000. Priamym dôsledkom bola rekordná pokuta 400 000 £ od Úradu informačného komisára (ICO) a odhadované celkové náklady 60 miliónov £, čo ukazuje, ako sa jediná technická chyba premieta do katastrofálnych obchodných strát.

Nad rámec krádeže dát: Úplné prevzatie systému

Sofistikovaný útok SQLi môže urobiť viac, ako len kradnúť dáta. V závislosti od povolení databázy môže útočník eskalovať svoje privilégiá na čítanie citlivých súborov priamo z webového servera, ako sú napríklad konfiguračné súbory obsahujúce ďalšie poverenia. V najhorších prípadoch môžu zapisovať súbory na server, potenciálne nahrávať webový shell na dosiahnutie Remote Code Execution (RCE). To transformuje narušenie dát na úplné ohrozenie systému, čím útočníkovi poskytne úplnú kontrolu nad vašou infraštruktúrou.

Ultimátna obrana: Ako zabrániť SQL Injection

Prevencia útoku SQL injection nie je o budovaní väčšieho múru; ide o zásadnú zmenu spôsobu, akým vaša aplikácia komunikuje so svojou databázou. Základný princíp je jednoduchý, ale účinný: nikdy nedôverujte vstupu používateľa. Všetky účinné techniky prevencie sú postavené na myšlienke prísneho oddelenia príkazov SQL, ktoré píšete (kód), od dát, ktoré poskytujú vaši používatelia.

Tým, že so všetkými externými dátami zaobchádzate len ako s dátami - a nikdy nie ako so súčasťou vykonateľného príkazu - môžete neutralizovať hrozbu skôr, ako sa vôbec dostane do vášho databázového stroja.

Primárna obrana: Používajte pripravené príkazy (parametrizované dotazy)

Pripravené príkazy sú zlatým štandardom pre prevenciu SQL injection. Namiesto toho, aby ste priamo miešali vstup používateľa do reťazca dotazu, najprv odošlete šablónu dotazu SQL do databázy. Databáza skompiluje túto šablónu a až potom odošlete dáta používateľa ako samostatné parametre. Tento proces zaisťuje, že databázový stroj nikdy nezamení dáta používateľa s vykonateľným kódom SQL.

Tu je jednoduchý príklad v Pythone, ktorý ukazuje rozdiel:

Zraniteľný kód:


# NIKDY to nerobte!
user_id = request.form.get("id")
query = f"SELECT * FROM users WHERE id = {user_id}"
cursor.execute(query)

Bezpečný kód (s pripravenými príkazmi):


# Bezpečný spôsob
user_id = request.form.get("id")
query = "SELECT * FROM users WHERE id = %s"
cursor.execute(query, (user_id,))

V bezpečnej verzii je %s zástupný symbol, nie formát reťazca. Databáza prijíma dotaz a dáta samostatne, čo znemožňuje, aby vstup zmenil logiku dotazu.

Sekundárna obrana: Uložené procedúry

Uložené procedúry sú prekompilovaný kód SQL uložený v samotnej databáze. Vaša aplikácia môže volať tieto procedúry podľa názvu a odovzdávať vstup používateľa ako bezpečné parametre. To zapuzdruje logiku databázy a môže znížiť plochu útoku. Platí však kritické varovanie: ak samotná uložená procedúra vytvára dynamické dotazy SQL spájaním reťazcov, bude rovnako zraniteľná. Sú bezpečné len vtedy, keď sa používajú správne s parametrami.

Ďalšie vrstvy: Validácia vstupu a princíp najmenšieho privilégia

Zatiaľ čo pripravené príkazy sú vašou hlavnou líniou obrany, viacvrstvový prístup poskytuje robustnú bezpečnosť. Zvážte tieto ďalšie osvedčené postupy:

  • Validácia vstupu: Implementujte prísny "zoznam povolených" (tiež známy ako whitelisting). Namiesto toho, aby ste sa pokúšali blokovať známe zlé vstupy, definujte presne to, čo je povolené. Napríklad, ak pole očakáva 5-ciferné PSČ, odmietnite akýkoľvek vstup, ktorý nie je presne päť čísel.
  • Princíp najmenšieho privilégia: Databázový účet, ktorý vaša webová aplikácia používa, by mal mať absolútne minimálne požadované povolenia. Mal by byť schopný vykonávať iba potrebné funkcie (napr. SELECT, INSERT na konkrétnych tabuľkách). Nikdy by nemal mať administratívne privilégiá ako DROP TABLE alebo možnosť upravovať schému databázy.

Implementácia týchto postupov vedených vývojármi je základom bezpečnej aplikácie. Aby ste sa uistili, že vaša obrana funguje podľa očakávania, je kľúčová nepretržitá validácia. Služby ako Penetrify vám môžu pomôcť proaktívne testovať vaše bezpečnostné postavenie proti skutočným hrozbám.

Nájdenie chýb SQLi: Manuálne testovanie vs. Automatizované skenovanie

Implementácia preventívnych opatrení je prvou líniou obrany, ale ako overíte, či fungujú? Aj s najlepšími postupmi kódovania sa zraniteľnosti môžu prešmyknúť cez komplexné kódové základne. Proaktívne nájdenie potenciálnej chyby SQL injection skôr, ako to urobí útočník, je kritické pre udržanie bezpečnosti. Tento proces detekcie a overovania sa primárne spolieha na dve metódy: manuálne penetračné testovanie a automatizované skenovanie zraniteľností. Pre moderné vývojové tímy sa voľba často obmedzuje na vyváženie rýchlosti, nákladov a hĺbky pokrytia.

Manuálne penetračné testovanie

Manuálne penetračné testovanie, alebo "pen testing," zahŕňa kvalifikovaného bezpečnostného experta, ktorý sa pokúša prelomiť obranu vašej aplikácie rovnako, ako by to urobil skutočný útočník. Využívajú svoje skúsenosti a kreativitu na hľadanie slabých miest, testovanie obchodnej logiky a pokus o zreťazenie menších chýb do významného exploitu. Tento prístup zameraný na človeka vyniká pri hľadaní jedinečných zraniteľností, ktoré nezodpovedajú štandardnému vzoru.

  • Výhody: Môže identifikovať komplexné zraniteľnosti obchodnej logiky, ktoré automatizované nástroje prehliadnu. Prináša vysoko kontextové zistenia s takmer žiadnymi falošnými poplachmi.
  • Nevýhody: Proces je pomalý, nákladný a ťažko škálovateľný. Jeden test môže trvať týždne, pričom poskytuje iba momentku v čase, ktorá sa v agilných prostrediach rýchlo stáva zastaranou.

Automatizované skenovanie zraniteľností

Automatizované skenery sú softvérové nástroje, ktoré systematicky prehľadávajú webovú aplikáciu a spúšťajú rozsiahle množstvo známych útočných payloadov na každom vstupe, parametri a koncovom bode API. Sú navrhnuté tak, aby rýchlo a efektívne identifikovali bežné, dobre zdokumentované zraniteľnosti, ako sú SQL injection, Cross-Site Scripting (XSS) a nezabezpečené konfigurácie servera v celej aplikácii.

  • Výhody: Extrémne rýchle, schopné skenovať rozsiahle aplikácie v priebehu minút alebo hodín. Umožňuje nepretržité bezpečnostné pokrytie integráciou priamo do CI/CD pipelines, čím zachytáva chyby pri každom odoslaní kódu.
  • Nevýhody: Tradičné skenery môžu generovať vysoký počet falošných poplachov a môžu mať problémy s viacstupňovými útokmi alebo chybami vloženými do jedinečnej aplikačnej logiky.

Moderný prístup: Nepretržitá bezpečnosť poháňaná umelou inteligenciou

Najúčinnejšia moderná bezpečnostná stratégia spája rýchlosť automatizácie s inteligenciou experta. Bezpečnostné platformy poháňané umelou inteligenciou, ako je Penetrify, sú vytvorené pre túto novú realitu. Využívajú inteligentnú automatizáciu nielen na objavovanie bežných zraniteľností, ale aj na pochopenie kontextu, zníženie falošných poplachov a identifikáciu komplexných útočných reťazcov. Tento prístup transformuje bezpečnosť z konečnej, pomaly sa pohybujúcej brány na bezproblémovú, integrovanú súčasť vývojového pracovného postupu. Tímy môžu nájsť a opraviť chyby včas a často, bez obetovania rýchlosti.

Nenechajte bezpečnosť byť prekážkou. Začnite svoje bezplatné, automatizované skenovanie s Penetrify ešte dnes.

Od zraniteľnosti k ostražitosti: Vaša konečná obrana

Preskúmali sme, ako môže jednoduchý prehliadnutie v kóde viesť ku katastrofálnemu narušeniu dát. Kľúčové poznatky sú jasné: útok SQL injection nie je len technická chyba, ale vážna obchodná hrozba, a proaktívna obrana prostredníctvom bezpečných postupov kódovania, ako sú parametrizované dotazy, je nevyhnutná. Pochopenie anatómie útoku je prvý krok, ale implementácia robustnej, viacvrstvovej bezpečnostnej stratégie je to, čo transformuje vašu aplikáciu z cieľa na pevnosť.

Zatiaľ čo bezpečné kódovanie je vaša prvá línia obrany, samotné manuálne testovanie často nestačí na udržanie kroku s modernými vývojovými cyklami. Na skutočné posilnenie vašich aplikácií potrebujete nepretržitý, automatizovaný prístup na nájdenie a opravu zraniteľností skôr, ako ich možno zneužiť. Tu sa výkonný bezpečnostný skener stáva nevyhnutnou súčasťou vašej sady nástrojov.

Nečakajte na útok. Nájte a opravte chyby SQL injection automaticky s Penetrify. Náš skener poháňaný umelou inteligenciou detekuje zraniteľnosti OWASP Top 10 v priebehu niekoľkých minút, znižuje falošné poplachy a integruje sa priamo do vášho vývojového potrubia. Prevezmite kontrolu nad svojím bezpečnostným postavením a budujte s istotou.

Často kladené otázky o SQL Injection

Je SQL injection stále problém v roku 2026?

Áno, absolútne. Napriek tomu, že ide o dobre známu zraniteľnosť už desaťročia, SQL injection sa neustále zaraďuje medzi riziká webovej bezpečnosti aplikácií OWASP Top 10. Hrozba pretrváva kvôli staršiemu kódu, prehliadnutiu vývojármi a zvyšujúcej sa zložitosti aplikácií. Pokiaľ aplikácie konštruujú databázové dotazy pomocou nedôveryhodného vstupu od používateľa, základné riziko útoku SQL injection zostáva, čo si vyžaduje neustálu ostražitosť a bezpečné postupy kódovania, aby sa predišlo.

Môže používanie ORM (Object-Relational Mapper) zabrániť všetkým útokom SQL injection?

Zatiaľ čo ORM ako Hibernate alebo SQLAlchemy výrazne znižujú riziko, nie sú úplnou zárukou. ORM fungujú tak, že abstrahujú SQL a predvolene používajú parametrizované dotazy, čo je primárna obrana. Ak sa však vývojár rozhodne napísať surový dotaz SQL v rámci rámca ORM a nesprávne zahrnie vstup od používateľa, aplikácia môže byť stále zraniteľná. Správna implementácia a vyhýbanie sa surovým, spojeným dotazom sú rozhodujúce pre ochranu.

Čo je jednoduchý príklad útoku SQL injection?

Predstavte si prihlasovací formulár, kde dotaz je `SELECT * FROM users WHERE username = 'user_input'`. Útočník by mohol zadať `' OR '1'='1` ako svoje používateľské meno. Databáza by potom vykonala dotaz `SELECT * FROM users WHERE username = '' OR '1'='1'`. Keďže '1'='1' je vždy pravda, tento škodlivý dotaz by mohol úplne obísť kontrolu hesla a udeliť útočníkovi prístup k prvému používateľskému účtu v databázovej tabuľke.

Ako môžem testovať svoju vlastnú webovú stránku na zraniteľnosti SQL injection?

Môžete začať s manuálnym testovaním zadaním špeciálnych znakov SQL, ako je jednoduchá úvodzovka (') alebo dvojitá pomlčka (--), do vstupných polí, aby ste zistili, či sa správanie stránky zmení alebo vráti chybu databázy. Pre dôkladnejšiu analýzu použite automatizované nástroje Dynamic Application Security Testing (DAST). Populárne možnosti s otvoreným zdrojovým kódom, ako sú OWASP ZAP alebo špecializovaný nástroj SQLmap, môžu systematicky skenovať vašu webovú stránku na identifikáciu a hlásenie potenciálnych zraniteľností.

Sú NoSQL databázy ako MongoDB tiež zraniteľné voči útokom injection?

Áno, hoci útočný vektor je iný. Sú náchylné na "NoSQL injection". Namiesto vkladania syntaxe SQL útočník vloží kód alebo operátory špecifické pre dotazovací jazyk NoSQL databázy. Napríklad v dotaze MongoDB by útočník mohol vložiť operátory do objektu dotazu JSON, aby zmenil jeho logiku, potenciálne obišiel autentifikáciu alebo extrahoval neoprávnené dáta. Základný problém vykonávania nedôveryhodného vstupu zostáva rovnaký.

Aký je rozdiel medzi SQL injection a Cross-Site Scripting (XSS)?

Kľúčový rozdiel je cieľ. SQL injection je útok na strane servera, ktorý je zameraný na databázu aplikácie a umožňuje útočníkovi kradnúť alebo manipulovať s dátami. Cross-Site Scripting (XSS) je útok na strane klienta, ktorý je zameraný na používateľov aplikácie. Útočník vloží škodlivé skripty do webovej stránky, ktoré sa potom vykonajú v prehliadači obete, čo umožní krádež session cookies, prihlasovacích údajov alebo iných citlivých informácií používateľa.

Back to Blog