In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Was ist SQL-Injection? - ECS

Werbung 
Was ist SQL-Injection?
SQL Server injection ist eine Technik, die Schwachstellen in Ihrer Datenbankabfrage
ausnützt, um die SQL-Abfrage anderweitig zu gestalten.
Beispiel:
SQL = "SELECT * FROM kunden WHERE nachname = '" & Request("nachname") &
"';"
Wenn Sie die Variable nachname eingeben als: '; DELETE TABLE xxxx; -- dann wird
folgender SQL-Befehl erzeugt:
SELECT * FROM kunden WHERE nachname = ''; DELETE TABLE xxxx; --';
= Damit wird die Tabelle xxxx gelöscht!
Wenn Sie als nachname eingeben ' OR 1=1 -- erhalten Sie folgendes:
SELECT * FROM kunden WHERE nachname = '' OR 1=1 --';
= Es werden alle Datensätze aus der Tabelle kunden ausgegeben.
Wenn Sie daher Datenbankabfragen in Ihrer Homepage verwenden, dann wäre es
ratsam, die Eingaben in Zukunft vor Manipulation zu schützen!
Man könnte z.B.
- Hochkomma oder Anführungszeichen aus der SQL-Eingabe entfernen:
nachname = replace(nachname,chr(34),"")
' " entfernen
nachname = replace(nachname,"'","")
' ' entfernen
Oder wenn diese doch vorkommen müssen, dann zumindest:
'Wenn 1. Zeichen ein ', dann abschneiden:
if left(nachname,1) = "'" or left(nachname,1) = chr(34) then nachname =
mid(nachname,2)
- SQL-Befehle entfernen:
nachname = replace(nachname,INSERT,"")
' SQL Befehl INSERT entfernen
Was ist SQL-Injection?
ECS-Webhosting Support
http://support.ecs-webhosting.de/FragenundAntworten/Was-ist-SQLInjection
Zugehörige Unterlagen
HERTHA BSC KG mbH aA iG Hanns-Braun
HERTHA BSC KG mbH aA iG Hanns-Braun
Schulstempel IV. POLNISCH- DEUTSCHER WETTBEWERB VON
Schulstempel IV. POLNISCH- DEUTSCHER WETTBEWERB VON
HERTHA BSC KG mbH aA iG Hanns-Braun
HERTHA BSC KG mbH aA iG Hanns-Braun
Anmeldung - THG Dinslaken
Anmeldung - THG Dinslaken
Vorlage für Startseiten
Vorlage für Startseiten
Aufgabe 1: Relationale Modellierung der Generalisierung Aufgabe 2
Aufgabe 1: Relationale Modellierung der Generalisierung Aufgabe 2
Lebenslauf - e
Lebenslauf - e
Anmeldeformular - SAC
Anmeldeformular - SAC
Die SELECT-Anweisung
Die SELECT-Anweisung
Rechnung an - SuisServices
Rechnung an - SuisServices
xxxxxhgfljgasdlfglasgkdfkGDKGEDLGEHGFFFfffff
xxxxxhgfljgasdlfglasgkdfkGDKGEDLGEHGFFFfffff
INSERT, UPDATE und DELETE ohne Lösung
INSERT, UPDATE und DELETE ohne Lösung
ZITIEREN IN DEN SOZIALWISSENSCHAFTEN
ZITIEREN IN DEN SOZIALWISSENSCHAFTEN
Muster-Widerrufsformular
Muster-Widerrufsformular
Warum ist eine Anwendung langsam?
Warum ist eine Anwendung langsam?
Vorlesungsmitschrieb
Vorlesungsmitschrieb
Hier eingeben - Karl-Franzens
Hier eingeben - Karl-Franzens
Mutationsformular-Kindergarten.dot
Mutationsformular-Kindergarten.dot
Bewilligungsgesuch Versicherungsvermittler (juristische
Bewilligungsgesuch Versicherungsvermittler (juristische
Formatvorlage Bachelorprojekt
Formatvorlage Bachelorprojekt
Richtlinien fü r Nachweise von Literatür ünd Müsik
Richtlinien fü r Nachweise von Literatür ünd Müsik
ANTRAG U25-TheaTer FlaTraTe - Theater Baden
ANTRAG U25-TheaTer FlaTraTe - Theater Baden
Herunterladen
Werbung