SQL Injection |
||||||
Home Neues TestSeite Forum Suchen Teilnehmer Communities Ordner Index Hilfe Einstellungen Ändern |
Eine spezielle Form von Sicherheitslücke, die entsteht, wenn die Formulareingaben von (Internet-)Benutzern direkt in SQL-Statements eingefügt und ausgewertet werden.
Links:
Ähnliche Sicherheitsprobleme bestehen übrigens bei allen Internet-Programmen (bzw. Scripts), wenn Benutzereingaben ohne Überprüfung in Befehle, Programmaufrufe, oder Evaluierungen von Ausdrücken umgesetzt werden. Eine strikte Kontrolle hilft meistens. Ein Benutzername darf dann eben nur Buchstaben, eine Adresse nur Buchstaben, Ziffern und "-." enthalten, jedenfalls dürfen die Eingaben keine speziellen Sonderzeichen enthalten. Diese können entweder zurückgewiesen oder herausgelöscht werden. Besser zuviel Sicherheit als zuwenig. Der folgende Perl-Befehl filtert z. B. alles außer Buchstaben und Ziffern aus der Eingabevariablen $input:
In e-Mail-Adressen wird man nichts außer diesen und zusätzlich den Zeichen "@", "_", "." und "-" zulassen.
OrdnerSicherheit
| |||||