Mailinglisten-Archive |
Hallo Tim, Besten Dank für die Erklärung Gruß Dirk -----Ursprüngliche Nachricht----- Von: Tim Hildebrandt [mailto:TConnect at gmx.net] Gesendet: Sonntag, 28. August 2005 19:32 An: mysql-de at lists.4t2.com Betreff: Re: SQL-Injection > Hallo, Hallo Dirk, > > > habe heute den Begriff SQL-Injection gehört, Kann mir jemand erklären, > was das ist? > Das bedeutet, dass jemand versucht, z.B. über ein Web-Eingabeformular, in das eigentlich nur "normale Daten" gehören, SQL-Anweisungen zu schreiben. Angenommen, Du hast ein Gästebuch, das auf MySQL aufsetzt und jemand schreibt eine Nachricht darin. Dann kann man den darin geschriebenen Text so tippen, dass dieser z.B. eine Lösch-Anweisung der gesamten Tabelle beinhaltet (DROP TABLE tabellenname). Bei der Entgegennahme der Daten interpretiert MySQL diese Daten dann ggf. nicht so, wie das in der entsprechenden Anwendung eigentlich gedacht ist. Potentiell anfällig für SQL-Injection sind große freie PHP Produkte, Foren, Gästebücher, dessen genaue Tabellen- und Datenbankstrukturen öffentlich bekannt sind. Zwar muß man solche Fehler in diesen Anwendungen in der Regel intensiv suchen, aber wenn ein Bug in dieser Hinsicht bekannt wird, sollte man sich sputen, diesen zu beseitigen. In PHP kann das Gröbste bereits dadurch behoben werden, dass man die Nutzdaten mittels des Befehls "addslashes($meinedaten)" behandelt. Am besten, Du googelst mal etwas, dann wirst Du schnell auf entsprechende hinweise und detailliertere Infos kommen. > Besten Dank Dirk Grüße Tim -- 5 GB Mailbox, 50 FreeSMS http://www.gmx.net/de/go/promail +++ GMX - die erste Adresse für Mail, Message, More +++ -- Infos zur Mailingliste, zur Teilnahme und zum An- und Abmelden unter -->> http://www.4t2.com/mysql -- Infos zur Mailingliste, zur Teilnahme und zum An- und Abmelden unter -->> http://www.4t2.com/mysql
php::bar PHP Wiki - Listenarchive