Links:

• http://www.aspheute.com/artikel/20011030.htm
• http://www.spidynamics.com/papers/SQLInjectionWhitePaper.pdf

Ähnliche Sicherheitsprobleme bestehen übrigens bei allen Internet-Programmen (bzw. Scripts), wenn Benutzereingaben ohne Überprüfung in Befehle, Programmaufrufe, oder Evaluierungen von Ausdrücken umgesetzt werden. Eine strikte Kontrolle hilft meistens. Ein Benutzername darf dann eben nur Buchstaben, eine Adresse nur Buchstaben, Ziffern und "-." enthalten, jedenfalls dürfen die Eingaben keine speziellen Sonderzeichen enthalten. Diese können entweder zurückgewiesen oder herausgelöscht werden. Besser zuviel Sicherheit als zuwenig.

Der folgende Perl-Befehl filtert z. B. alles außer Buchstaben und Ziffern aus der Eingabevariablen $input:

$input =~ s/[^0-9a-zA-Z]//g;

In e-Mail-Adressen wird man nichts außer diesen und zusätzlich den Zeichen "@", "_", "." und "-" zulassen.

Das ist gewagt, mir fällt da gleich juergen+amazon@example.com ein, oder "Juergen Testuser"@example.com ein.

• "Safe Scripting in Perl"