Η παρούσα διπλωματική εργασία επικεντρώνεται στις επιθέσεις SQL Injection (SQLi), οι οποίες συγκαταλέγονται στις πιο συχνές και επικίνδυνες απειλές για τη ασφάλεια διαδικτυακών εφαρμογών, σύμφωνα με κατατάξεις όπως το OWASP Top 10. Στο θεωρητικό μέρος, πραγματοποιείται βιβλιογραφική ανασκόπηση που καλύπτει την ιστορική εξέλιξη των SQLi, τις τεχνικές εκμετάλλευσης ευπαθειών σε βάσεις δεδομένων, τις κύριες κατηγορίες επιθέσεων, καθώς και τις σύγχρονες μεθόδους ανίχνευσης, πρόληψης και άμυνας. Εξετάζονται παραδοσιακές μέθοδοι, αλλά και πιο προηγμένες προσεγγίσεις που αξιοποιούν τεχνικές μηχανικής μάθησης και βαθιάς μάθησης, όπως νευρωνικά δίκτυα και πιθανολογικά μοντέλα για την ανίχνευση άγνωστων μορφών επιθέσεων. Σημαντική έμφαση δίνεται επίσης σε νεότερες ερευνητικές κατευθύνσεις, όπως οι αντιφατικές επιθέσεις που στοχεύουν στο να παρακάμψουν τα Τείχη Προστασία Ιστού (WAF), καθώς και οι προκλήσεις που προκύπτουν από τη σύνδεση εφαρμογών με Μεγάλα Γλωσσικά Μοντέλα (LLMs).

Στο πειραματικό μέρος, υλοποιήθηκαν επιλεγμένες δοκιμαστικές SQLi επιθέσεις δύο κατηγοριών και συγκεκριμένα σε απομονωμένο δοκιμαστικό περιβάλλον και σε περιβάλλον πλησίον του παραγωγικού, με χρήση ειδικών αυτοματοποιημένων εργαλείων και μικρά προγράμματα, που δημιουργήθηκαν στο πλαίσιο της εργασίας, για την αξιολόγηση του βαθμού ευπάθειας διαφόρων σεναρίων. Καταγράφηκαν και αναλύθηκαν τα αποτελέσματα, τόσο ποσοτικά όσο και ποιοτικά, προσφέροντας παρατηρήσεις για την αποτελεσματικότητα κάθε τεχνικής και την αντίδραση των συστημάτων ασφαλείας. Τέλος, η εργασία προτείνει πρακτικές στρατηγικές ενίσχυσης της ασφάλειας, όπως η πιστή τήρηση των κανόνων του ασφαλούς προγραμματισμού, η σωστή παραμετροποίηση των Τειχών Προστασίας, η χρήση λογισμικού αποκλεισμού του επιτιθέμενου μέρους, η ενσωμάτωση τεχνικών ανίχνευσης ανωμαλιών με μηχανική μάθηση και η πραγματοποίηση ελέγχων. Συνολικά, η εργασία παρέχει μια συγκριτική και κριτική επισκόπηση τεχνικών, ενώ προτείνει κατευθύνσεις για μελλοντική έρευνα και βελτιώσεις στον τομέα της κυβερνοασφάλειας.

This thesis focuses on SQL Injection (SQLi) attacks, which are consistently ranked among the most common and critical threats to web application security, as identified in the OWASP Top 10. The theoretical part presents a comprehensive literature review covering the historical evolution of SQLi, vulnerability exploitation techniques in databases, main attack categories, and modern methods for detection, prevention, and defense. It examines both traditional approaches and advanced methodologies, including machine learning and deep learning techniques such as neural networks and probabilistic models for the detection of unknown attacks. Particular attention is given to emerging research directions, including adversarial attacks targeting Web Application Firewalls (WAFs) and challenges introduced by the integration of applications with Large Language Models (LLMs). The experimental part involves the implementation of selected SQLi attack tests in two environments: an isolated test environment and a near-production setting. Automated tools and custom-developed scripts were used to evaluate vulnerability levels across different scenarios. Results were recorded and analyzed both quantitatively and qualitatively, providing insights into the effectiveness of each technique and the corresponding system responses. Finally, the study proposes practical security enhancement strategies, including adherence to secure coding practices, proper WAF configuration, the use of attacker-blocking software, the integration of machine learning-based anomaly detection, and regular security audits. Overall, this thesis offers a comparative and critical analysis of state-of-the-art techniques and suggests directions for future research and improvements in the cybersecurity domain.