phpbar.de logo

Mailinglisten-Archive

Re: SQL-Injection

Re: SQL-Injection

Tim Hildebrandt TConnect at gmx.net
Son Aug 28 19:31:06 CEST 2005


> Hallo,
Hallo Dirk,

>  
> 
> habe heute den Begriff SQL-Injection gehört,
> Kann mir jemand erklären, was das ist?
> 
Das bedeutet, dass jemand versucht, z.B. über ein Web-Eingabeformular, in
das eigentlich nur "normale Daten" gehören, SQL-Anweisungen zu schreiben.

Angenommen, Du hast ein Gästebuch, das auf MySQL aufsetzt und jemand
schreibt eine Nachricht darin. Dann kann man den darin geschriebenen Text so
tippen, dass dieser z.B. eine Lösch-Anweisung der gesamten Tabelle
beinhaltet (DROP TABLE tabellenname). Bei der Entgegennahme der Daten
interpretiert MySQL diese Daten dann ggf. nicht so, wie das in der
entsprechenden Anwendung eigentlich gedacht ist.

Potentiell anfällig für SQL-Injection sind große freie PHP Produkte, Foren,
Gästebücher, dessen genaue Tabellen- und Datenbankstrukturen öffentlich
bekannt sind. Zwar muß man solche Fehler in diesen Anwendungen in der Regel
intensiv suchen, aber wenn ein Bug in dieser Hinsicht bekannt wird, sollte
man sich sputen, diesen zu beseitigen.


In PHP kann das Gröbste bereits dadurch behoben werden, dass man die
Nutzdaten mittels des Befehls "addslashes($meinedaten)" behandelt.

Am besten, Du googelst mal etwas, dann wirst Du schnell auf entsprechende
hinweise und detailliertere Infos kommen.

> Besten Dank Dirk

Grüße Tim

-- 
5 GB Mailbox, 50 FreeSMS http://www.gmx.net/de/go/promail
+++ GMX - die erste Adresse für Mail, Message, More +++

-- 
Infos zur Mailingliste, zur Teilnahme und zum An- und Abmelden unter
-->>  http://www.4t2.com/mysql 


php::bar PHP Wiki   -   Listenarchive