In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

DBSP – DB-gestützte Webapplikationen – Unit 14

Werbung 
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Vorlesung
DBSP
Unit
Datenbank-gestützte Webapplikationen
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
1
Prof. Dr. rer. nat.
Nane Kratzke
Praktische Informatik und
betriebliche Informationssysteme
• 
• 
• 
Raum: 17-0.10
Tel.: 0451 300 5549
Email: [email protected]
@NaneKratzke
Updates der Handouts auch über Twitter #dbsp
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
2
Seite 1
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Übergreifende Ziele der
Lehrveranstaltung
Client- und Serverseitige Entwicklung
Framework
Erfahrungen
Berücksichtigung von
Sicherheitsaspekten
PHP (Serverseitig)
CMS (Drupal)
HTML-Injections
WebServices
(Google-Maps)
SQL-Injections
jQuery
Session Hijacking
DatenbankIntegration
Login-Systeme
JavaScript
(Clientseitig)
„Hosten“ von Apps
Um sich weitere Web-Technologien autodidaktisch erarbeiten zu
können.
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
3
Units
Unit 1
Cloud Computing
Unit 2
CMS Drupal
Unit 3
HTML und CSS
Unit 4 - 7
PHP I - IV
Unit 9
JavaScript
Unit 10
Drupal Module
Development
Unit 11
Datenmodellierung
Unit 12 - 13
Datenbanken und SQL
Unit 14
Datenbank-gestützte
Web-Applikationen
IaaS
Unit 8
Sessions, Cookies,
Formulare und
Login-System
Vom Datenmodell zur
Datenbank
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
4
Seite 2
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Datenbank – Server – Client
Wo waren wir nochmal?
Wir sind
hier!
SQL
Datenbank
HTML/CSS
Server
Client
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
5
Zum Nachlesen ...
Kapitel 2
Datenbanksysteme, Datenbankanwendungen und
Middleware
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
6
Seite 3
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Zum Nachlesen ...
MySQLi Online Dokumentation
http://php.net/manual/de/book.mysqli.php
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
7
Zum Nachlesen ...
Bereitgestellte Skripte:
Datenbanken und PHP
•  Kapitel 2: Datenbank Architekturen
•  Kapitel 3: Datenbanken bei dynamischen Webseiten
PHP Programmierung
•  Kapitel 18: Einleitung in Datenbank-gestützte
Websysteme
•  Kapitel 19: Architekturen datenbankgestützter
Websysteme
•  Kapitel 20: Datenbanken bei dynamischen Webseiten
http://praktische-informatik.fh-luebeck.de/node/50
http://praktische-informatik.fh-luebeck.de/node/39
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
8
Seite 4
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Phasenmodell des Entwurfsprozesses
z.B. Befragung
z.B. ERModellierung
Nur bei
verteilten DB
z.B.
Transformation
z.B. SQLProgrammierung
DDL, DML, DQL,
DCL
DB Anbindung
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
9
Inhalte dieser Unit
Schichten von
DatenbankAnwendungen
Zugriff auf
Datenbanken
mittels PHP
MySQLi
Details
SQL Injections
und Prepared
Statements
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
10
Seite 5
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Schematischer Aufbau einer
Datenbankanwendung
View
Controller
Model
Präsentationsschicht
Datendarstellung und eingabe,
Nutzerinteraktion
Geschäftsschicht
Geschäftsregeln und –
logik, Berechnungen
Datenbankschicht
Speicherung, Suche,
Ansicht und Integrität
der Daten
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
11
Einschichtige Datenbank Anwendung
Alles auf einem Rechner
Präsentationsschicht
Monolithische Architektur
Geschäftsschicht
Datenbankschicht
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
12
Seite 6
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Thin Client Datenbank Anwendung
Präsentationsschicht
Darstellung vom Rest
der Applikation
entkoppelt.
Geschäftsschicht
Datenbankschicht
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
13
Fat Client Datenbank Anwendung
(Intelligenter Client)
Präsentationsschicht
Geschäftsschicht
Zentrale Datenhaltung,
dezentrale
Verarbeitung.
Datenbankschicht
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
14
Seite 7
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
N-schichtige Datenbank Anwendung
Dezentraler Tool-Zugriff
Präsentationsschicht
Zentrale Verarbeitung
Geschäftsschicht
Zentrale Datenhaltung
Datenbankschicht
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
15
N-schichtige Datenbank Anwendung
klassische Internet Datenbank Anwendung
Dezentraler Web-Zugriff
Browser
Zentrale Verarbeitung
und Darstellung
Präsentationsschicht
Geschäftsschicht
Zentrale Datenhaltung
Datenbankschicht
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
16
Seite 8
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
N-schichtige Datenbank Anwendung
{L/W/M}AMP Stack
{Linux, Windows, Mac} Apache MySQL PHP
klassische Internet Datenbank Anwendung
Browser
Präsentationsschicht
Geschäftsschicht
Datenbankschicht
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
17
Inhalte dieser Unit
Schichten von
DatenbankAnwendungen
Zugriff auf
Datenbanken
mittels PHP
MySQLi
Details
SQL Injections
und Prepared
Statements
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
18
Seite 9
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
PHP Anbindung an Datenbanken
Verbindung zur einer DB
Server-Adresse
Port
DB-Name
Nutzer
Passwort
Verschiedene Zugriffs-Bibliotheken
DB-spezifisch
z.B. MySQL(i), MSSQL, PostgresSQL,
IBM DB2, SQLite
„Middleware“
z.B. ODBC, PDO, DBA
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
19
Middleware artiger Zugriff
Applikation
RDBMS Middleware Layer
Treiber
Datenbank
Kopplung an eine DB
über Middleware bietet
den Vorteil, dass man
unter der Middleware die
DB austauschen kann
und man sich nicht auf
ein Produkt festlegt.
Bekanntester und
verbreitester Standard ist
hier vermutlich ODBC
von Microsoft.
Auch PHP bietet eine
ODBC Bibliothek.
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
20
Seite 10
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
DB-spezifischer Zugriff
•  Verbreiteste und
bekanntestes open
source RDBMS ist
vermutlich MySQL
•  Die MySQL
Integration in PHP ist
eng und robust
•  MySQL ist bei Open
Source Projekten
meist die erste Wahl
•  Aufgrund der
Verbreitung
•  und der leichten
Übertragbarkeit der
DB-Zugriffsprinzipien
auf andere RDBMS
•  erfolgen die weiteren
Erläuterungen am
Beispiel von MySQL
mittels der MySQLi
Bibliothek
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
21
Inhalte dieser Unit
Schichten von
DatenbankAnwendungen
Zugriff auf
Datenbanken
mittels PHP
MySQLi
Details
SQL Injections
und Prepared
Statements
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
22
Seite 11
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Typischer Server-getriebener SQL
Workflow
$db = new mysqli($host,
$usr, $pwd, $dbname);
Verbindung herstellen
SQL Statement erzeugen
SQL Statement ausführen
Ggf. Ergebnis aufbereiten (bei Abfragen)
Verbindung schließen
if ($db->connect_error) {
echo mysqli_connect_error();
exit();
}
Zwischen Aufbau der Verbindung
zum DB-Server können beliebige
SQL Statements erzeugt und
durch die DB ausgeführt werden.
Das die Datenbank
repräsentierende Objekt $db
wird durch new mysqli in
gezeigter Weise erzeugt und
kann anschließend genutzt
werden, um Operationen auf der
DB ausführen zu lassen.
$db->close();
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
23
Typischer Server-getriebener SQL
Workflow
Verbindung herstellen
SQL Statement erzeugen
SQL Statement ausführen
Auf der DB ausführbare
Operationen sind SQL
Statements.
Solche SQL Statements können
mittels der Methoden query
und multi_query an die DB
zur Ausführung übersendet
werden.
Auszuführende SQL Statements
werden hierzu in einer String
Variablen gebildet, z.B. wie folgt:
Ggf. Ergebnis aufbereiten (bei Abfragen)
Verbindung schließen
$q = “SELECT MatrNr, Name
FROM Studenten“;
$qs = “USE LVBsp; $q“;
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
24
Seite 12
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Typischer Server-getriebener SQL
Workflow
Verbindung herstellen
SQL Statement erzeugen
SQL Statement ausführen
Ggf. Ergebnis aufbereiten (bei Abfragen)
Verbindung schließen
Mittels der Methoden query
und multi_query können
SQL-Statements an die DB zur
Ausführung übersendet werden.
Beide Methoden liefern ein
Ergebnis Objekt vom Typ
mysqli_result zurück,
welches Zugriff auf die durch DB
bestimmten Ergebnisse
ermöglicht.
query führt ein SQL Statement
aus.
multi_query führt mehrere
durch ; separierte Statements
aus.
$res = $db->query($q);
$res = $db->multi_query($qs);
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
25
Typischer Server-getriebener SQL
Workflow
Verbindung herstellen
SQL Statement erzeugen
SQL Statement ausführen
Mittels der Methode
fetch_assoc des
Resultobjekts erhält man Zugriff
auf einen Datensatz des von der
DB bereitgestellten Ergebnisses.
Das Ergebnis ist ein Array
dessen keys die Spaltennamen
der SQL Query sind und dessen
Werte die Spalteninhalte.
$zeile = $res->fetch_assoc();
Ggf. Ergebnis aufbereiten (bei Abfragen)
Verbindung schließen
Üblicherweise werden die
Ergebnisse Zeile für Zeile mittels
einer while-Schleife
durchlaufen.
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
26
Seite 13
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Beispiel einer typischen Ergebnisabfrage
$q = “SELECT MatrNr, Name
FROM Studenten“;
$res = $db->query($q);
while ($zeile = $res->fetch_assoc()) {
$es = array();
$es[‘MatrNr‘] = $zeile[‘MatrNr‘];
$es[‘Name‘] = $zeile[‘Name‘];
Studenten:
MatrNr
Name
SG
12345
Max Mustermann
ESA
54321
Maren Musterfrau
INF
23451
Hansi Hase
IGi
56432
Hanna Montana
KIM
foreach ($es as $k => $v) {
echo “$k -> $v<br/>“;
}
}
12345 -> Max Mustermann
54321 -> Maren Musterfrau
23451 -> Hansi Hase
56432 -> Hanna Montana
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
27
Typischer Server-getriebener SQL
Workflow
$db = new mysqli($host,
$usr, $pwd, $dbname);
Verbindung herstellen
SQL Statement erzeugen
SQL Statement ausführen
Ggf. Ergebnis aufbereiten (bei Abfragen)
Verbindung schließen
if ($db->connect_error) {
echo mysqli_connect_error();
exit();
}
Zwischen Aufbau der Verbindung
zum DB-Server können beliebige
SQL Statements erzeugt und
durch die DB ausgeführt werden.
Das die Datenbank
repräsentierende Objekt $db
wird durch new mysqli in
gezeigter Weise erzeugt und
kann anschließend genutzt
werden, um Operationen auf der
DB ausführen zu lassen.
$db->close();
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
28
Seite 14
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Sonderzeichen berücksichtigen
•  Beim Eintragen von Daten in eine Datenbank
•  oder beim Abfragen von Daten aus einer
Datenbank
•  mittels SQL-Statements
•  müssen Zeichen mit einer besonderen
Bedeutung „maskiert“ werden.
•  Dies betrifft insbesondere die SQL Statements
•  INSERT
•  SELECT
•  UPDATE
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
29
Sonderzeichen berücksichtigen
Beispiel
$q = “INSERT INTO Studenten (MatrNr, Name, SGID) VALUES
(‘12345‘, ‘Mac O‘Brien‘, ‘IGi‘)“;
$res = $db->query($q);
$q = “INSERT INTO Studenten (MatrNr, Name, SGID) VALUES
(‘12345‘, ‘Mac O\‘Brien‘, ‘IGi‘)“;
Beispiel eines
Sonderzeichens, dass
mit SQL Syntax kollidiert
Sonderzeichen durch
Backslash \ maskieren.
$res = $db->query($q);
$matrnr = $db->real_escape_string(“12345“);
$name = $db->real_escape_string(“Mac O‘Brien“);
$sg = $db->real_escape_string(“IGi“);
$q = “INSERT INTO Studenten (MatrNr, Name, SGID) VALUES
(‘$matrnr‘, ‘$name‘, ‘$sg‘)“;
Alle Sonderzeichen
können durch die
Methode
real_escape_string
maskiert werden.
$res = $db->query($q);
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
30
Seite 15
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Filtere Werte die an die Datenbank
transferiert werden!
•  Welche Zeichen maskiert werden müssen
•  kann von DBMS zu DBMS herstellerspezifisch
verschieden sein
•  daher bietet es sich an, zum „Escapen“ eine DBMSspezifische Funktion zu nutzen
•  MySQL => real_escape_string
•  Sie sollten insbesondere Werte aus Formularen oder
sonstigen Quellen nicht ungefiltert als HTML ausgeben
oder in SQL Queries übernehmen
•  Denn erinnern Sie sich ...
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Alle Eingaben sind BÖSE!
•  Frei nach Dr. House:
31
Was be
i HTML
als
HTML
Injectio
n
funktio
niert,
funktio
niert au
ch b
SQL un
d heißt ei
...
•  Alle Nutzer sind böse, lügen,
betrügen und wollen Deinem
Server etwas Böses.
•  Traue keiner Nutzereingabe,
•  die nicht auf dem eigenen
Server geprüft, gefiltert
•  und für unschädlich befunden
wurde
•  bzw. unschädlich gemacht
on
wurde.
Injecti
SQL
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
32
Seite 16
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Inhalte dieser Unit
Schichten von
DatenbankAnwendungen
Zugriff auf
Datenbanken
mittels PHP
MySQLi
Details
SQL Injections
und Prepared
Statements
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
33
Was sind SQL-Injections?
•  Einschleusen von Datenbankbefehlen durch
einen Angreifer
•  Ziele
• 
• 
• 
• 
• 
Zugriff auf geschützte Bereiche der Datenbank
Daten einsehen
Daten ändern
Daten einbringen – Schadcode hinterlassen
Anrichten von Schaden (Daten löschen)
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
34
Seite 17
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
SQL-Injections
klassisches Beispiel
•  „Hacken“ einer DB-gestützten Nutzerverwaltung
•  In einer Tabelle benutzer werden Benutzernamen
mit zugehörigen Kennwörtern verwaltet
•  Benutzername und Passwort werden mittels eines
Login-Formulars übertragen
•  Mittels eines SELECT SQL Statement wird geprüft,
ob die Kombination Benutzername und Passwort
existiert
•  und es wird eine ID zurückgeliefert unter der dieser
Nutzer geführt wird.
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
35
SQL-Injections
Beispiel für anfällige SQL-Abfrage
Ungeschützte SQL-Query Generierung
$name = $_POST[‘name‘];
$passwort = $_POST[‘passwort‘];
$q = “SELECT id, name FROM benutzer
WHERE name=‘$name‘ AND
pwd=‘$passwort‘;“;
$res = $db->query($q);
Erzeugt für folgende Eingabe:
Name: Dr. House
Passwort: EVIL
Erzeugt für folgende Eingabe:
Name: Dr. House
SELECT id, name FROM benutzer
WHERE name=‘Dr. House‘ AND
pwd=‘EVIL‘;
SELECT id, name FROM benutzer
WHERE name=‘Dr. House‘ AND
pwd=‘‘ OR ‘a‘=‘a‘;
Passwort: ‘ OR ‘a‘=‘a
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
36
Seite 18
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
SQL-Injections
Beispiel für anfällige SQL-Abfrage
Ungeschützte SQL-Query Generierung
$name = $_POST[‘name‘];
$passwort = $_POST[‘passwort‘];
$q = “SELECT id, name, FROM benutzer
WHERE name=‘$name‘ AND
pwd=‘$passwort‘;“;
$res = $db->query($q);
Erzeugt für folgende Eingabe:
Name: Dr. House
Passwort: ‘ OR ‘a‘=‘a
SELECT id, name FROM benutzer
WHERE name=‘Dr. House‘ AND
pwd=‘‘ OR ‘a‘=‘a‘;
Injezierter
SQL-Code
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
37
SQL-Injections
Beispiel: Abarbeitung der injezierten Query
SELECT id, name FROM benutzer
WHERE name=‘Dr. House‘ AND pwd=‘‘ OR ‘a‘=‘a‘;
SELECT id, name FROM benutzer
WHERE TRUE AND FALSE OR ‘a‘=‘a‘;
SELECT id, name FROM benutzer
WHERE FALSE OR ‘a‘=‘a‘;
SELECT id, name FROM benutzer
WHERE FALSE OR TRUE;
D.h. der Angreifer muss nur einen registrierten Nutzernamen kennen, aber nicht dessen
Passwort, um sich einzuloggen !!!
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
38
Seite 19
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Schutz vor SQL-Injections
Was kann man tun?
Ungeschützte SQL-Query Generierung
$q = “SELECT id, name, FROM benutzer
WHERE name=‘$name‘ AND
pwd=‘$passwort‘;“;
$res = $db->query($q);
Geschützte SQL-Query Generierung
$name = $db->real_escape_string($_POST[‘name‘]);
$passwort = $db->real_escape_string($_POST[‘passwort‘]);
$q = “SELECT id, name, FROM benutzer
WHERE name=‘$name‘ AND
pwd=‘$passwort‘;“;
$res = $db->query($q);
Analog wie bei HTML-Injections
Statt htmlspecialchars nutzen von
real_escape_string
$name = $_POST[‘name‘];
$passwort = $_POST[‘passwort‘];
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
39
SQL-Injections
Beispiel für anfällige SQL-Abfrage
Geschützte SQL-Query Generierung
$name = $db->real_escape_string($_POST[‘name‘]);
$passwort = $db->real_escape_string($_POST[‘passwort‘]);
$q = “SELECT id, name, FROM benutzer
WHERE name=‘$name‘ AND
pwd=‘$passwort‘;“;
$res = $db->query($q);
Erzeugt für folgende Eingabe:
Name: Dr. House
Passwort: ‘ OR ‘a‘=‘a
SELECT id, name FROM benutzer
WHERE name=‘Dr. House‘ AND
pwd=‘\‘ OR \‘a\‘=\‘a‘;
Sinn- aber harmlos!
Geschützer
SQL-Code
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
40
Seite 20
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Prepared Statements
Verbindung herstellen
SQL Statement erzeugen
SQL Statement ausführen
Eine weitere Art SQL Injections
zu vermeiden, sind sogenannte
Prepared Statements, die zu
dem Geschwindigkeitsvorteile
bieten und Eingaben inhärent
prüfen.
Sie trennen die
•  SQL Statementerzeugung
Ggf. Ergebnis aufbereiten (bei Abfragen)
•  Dateneinbettung
•  und SQL Statement
Ausführung.
Verbindung schließen
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
41
Prepared Statements
•  Vorbereitete Anweisungen
•  Die keine Werte sondern Platzhalter enthalten
•  Sichere Methode zur Verhinderung von SQL Injections
•  Gültigkeit der Parameter wird vor Ausführung eines SQL
Statements geprüft
•  Abfragestruktur wird von Parameter (Daten) getrennt
•  Geschwindigkeitsvorteil, wenn Anweisungen mit
unterschiedlichen Parametern mehrmals durchgeführt
werden.
•  Z.B. mehrere gleich geformte Insert Statements
•  mit einer Vielzahl unterschiedlicher Daten (z.B. während Initial
Befüllung oder Import einer DB).
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
42
Seite 21
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Prepared Statements und MySQL
Anweisung vorbereiten
Parameter binden
Mittels der prepare Methode lässt sich ein
Prepared Statement Objekt vom Typ
mysqli_stmt erzeugen.
Das formulierte SQL-Statement enthält dabei
noch keine Werte, sondern nur Platzhalter (?) –
sogenannte Parameter des Prepared
Statements.
Anweisung ausführen
Ergebnisse binden
Ergebnisse holen
Diese Platzhalter werden im nächsten Schritt mit
Werten belegt (die Parameter werden hierzu an
Variablen des Programms gebunden).
$stmt = $db->prepare(
“SELECT MatrNr, Name
FROM Studenten
WHERE SGID LIKE ?“);
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
43
Prepared Statements und MySQL
Anweisung vorbereiten
Parameter binden
Mittels der bind_param Methode lassen sich
Parameter in ein Prepared Statement einbinden.
$stmt->bind_param(
$format_str,
$p1, $p2, $p3, ...);
$format_str gibt hierbei pro Parameter an,
welchen Typ die zu bindende Variable hat.
Anweisung ausführen
Ergebnisse binden
Ergebnisse holen
Zeichen
Bedeutung
i
Integer
d
Fließkommazahl (double)
b
BLOB (binary large object)
s
String
Der Format-String “ssd“ gibt beispielsweise an,
das die ersten beiden Parameter vom Typ
String sind und der dritte Parameter vom Typ
double.
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
44
Seite 22
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Prepared Statements und MySQL
Anweisung vorbereiten
Parameter binden
Mittels der execute Methode wird nun das
Prepared Statement mit eingebetteten
Parametern an den DB-Server übertragen und
ausgeführt.
Die Ergebnisse bleiben dabei solange auf dem
Server bis sie vom Server mittels der fetch
Methode geholt werden.
Ein typischer Aufruf sieht etwa wie folgt aus:
Anweisung ausführen
Ergebnisse binden
// Einbinden von Parameter in das Stmt
// Hier die Studiengangs-ID
$stmt->bind_param(“s“, $sgid);
// Ausführen des Statements
$stmt->execute();
Ergebnisse holen
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
45
Prepared Statements und MySQL
Anweisung vorbereiten
Parameter binden
Anweisung ausführen
Ergebnisse binden
Die Ergebnisse einer Query können an
Ergebnis-Variablen im PHP Code gebunden
werden.
Hierzu werden die Attribute der SELECT Klausel
eines Prepared Statements Attribut für Attribut
mittels der Methode bind_result an Variablen
gebunden.
$stmt = $db->prepare(
“SELECT MatrNr, Name
FROM Studenten
WHERE SGID LIKE ?“);
// Parameter binden
// Statement ausführen
$stmt->bind_result($matr, $name);
Ergebnisse holen
Mit jedem Aufruf von fetch() wird nun ein
Ergebnis der Query in die gebundenen
Ergebnis-Variablen geschrieben.
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
46
Seite 23
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Prepared Statements und MySQL
Anweisung vorbereiten
Parameter binden
Anweisung ausführen
Mit jedem Aufruf von fetch() wird nun ein
Ergebnis der Query in gebundenen ErgebnisVariablen geschrieben.
Üblicherweise ruft man fetch() so oft auf, bis
es kein Ergebnis mehr liefert.
// Statement erzeugen
// Parameter binden
$stmt->execute();
$stmt->bind_result($matr, $name);
while ($stmt->fetch()) {
echo “$matr, $name“;
}
Ergebnisse binden
Ergebnisse holen (I)
$stmt->close();
fetch() holt die Ergebnisse „Zeile für Zeile“
vom DB-Server. Diese ist zwar
speichereffizient, jedoch bei großen
Datenmengen recht langsam.
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
47
Prepared Statements und MySQL
Anweisung vorbereiten
Parameter binden
Anweisung ausführen
Ergebnisse binden
fetch() holt die Ergebnisse „Zeile für Zeile“
vom DB-Server. Diese ist speichereffizient
jedoch bei großen Datenmengen recht langsam.
Es können mit den Methoden store_result
und free_result die Ergebnisse auch alle auf
einmal geholt und im Speicher für schnelleren
Zugriff zwischengespeichert werden. Dies ist bei
großen Ergebnismengen häufig schneller, jedoch
speicherintensiver.
store_result holt alle Ergebnisdatensätze
und legt sie im Hauptspeicher ab.
free_result gibt den Hauptspeicher wieder
frei.
en bloc
Ergebnisse holen (II)
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
48
Seite 24
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Prepared Statements und MySQL
Anweisung vorbereiten
Parameter binden
Anweisung ausführen
store_result und free_result werden
dabei gewöhnlicherweise so eingesetzt, dass sie
den while fetch Block „klammern“.
//
//
//
//
Statement erzeugen
Parameter binden
Statement ausführen
Ergebnis-Variablen binden
$stmt->store_result();
while ($stmt->fetch()) {
echo “$matr, $name“;
}
$stmt->free_result();
$stmt->close();
Ergebnisse binden
en bloc
Ergebnisse holen (III)
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
49
Prepared Statements
Und jetzt alles zusammen
$stmt = $db->prepare(“SELECT MatrNr,Name
FROM Studenten
WHERE SGID LIKE ?“);
Statement vorbereiten
$sgid = “INF“;
$stmt->bind_param(“s“, $sgid);
Parameter binden
$stmt->execute();
Statement ausführen
$stmt->bind_result($matr, $name);
Ergebnisse binden
$stmt->store_result();
echo “<table>“;
echo <tr><th>Matrikelnr</th><th>Name</th></tr>
while ($stmt->fetch()) {
echo “<tr><td>$matr</td><td>$name</td></tr>“;
}
echo </table>
$stmt->free_result();
$stmt->close();
Ergebnisse holen (en bloc)
ugt
e
z
r
e
sgabe ?
u
A
e
Welch ses Listing
Ergebnisspeicher freigeb.
die
Ergebnis für Ergebnis
bearbeiten
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
50
Seite 25
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Eine mit PHP und MySQL generierte
Tabelle
Welche E
igensch
Personen aft haben diese
gemeinsa
m?
Gem. Code studiere
n sie alle INF ...
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
51
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
52
Prepared Statements
•  Sie haben Prepared
Statements am Beispiel
von SQL SELECT
Queries kennen gelernt
•  Für INSERT und
UPDATE SQL
Statements funktioniert
das gezeigte Prinzip
vollkommen analog
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
Seite 26
Handout zur Vorlesung
DBSP – DB-gestützte Webapplikationen – Unit 14
Zusammenfassung
• 
Logische Schichten von Datenbankanwendungen
• 
Mögliche Zugriffsarten auf Datenbanken mit PHP
• 
Datenbankzugriff am Beispiel der Bibliothek mysqli
• 
Prepared Statements
• 
SQL Injections (und wie man sich dagegen wappnet)
Prof. Dr. rer. nat. Nane Kratzke
Praktische Informatik und betriebliche Informationssysteme
Prof. Dr. rer. nat. Nane Kratzke (Praktische Informatik)
Fachhochschule Lübeck – Fachbereich Elektrotechnik und Informatik
Stand: 21.11.14
53
Seite 27
Zugehörige Unterlagen
Information - Dahlberg
Information - Dahlberg
Georg-August-Universität Göttingen Bachelor
Georg-August-Universität Göttingen Bachelor
Univ.-Professor Dr. rer. nat. Christian Behl (C4) - IFSN
Univ.-Professor Dr. rer. nat. Christian Behl (C4) - IFSN
novartis-preis für therapierelevante
novartis-preis für therapierelevante
Erklärung - bei DuEPublico
Erklärung - bei DuEPublico
Akademische Positionen
Akademische Positionen
Institut für Klinische Genetik
Institut für Klinische Genetik
Institut für Klinische Genetik
Institut für Klinische Genetik
Als PDF speichern
Als PDF speichern
Kurzfassung Curriculum Vitae
Kurzfassung Curriculum Vitae
DBSP – Datenbanken und SQL – Unit 12
DBSP – Datenbanken und SQL – Unit 12
Fokussiertes Laserlicht lässt Zellen fliegen
Fokussiertes Laserlicht lässt Zellen fliegen
Web-Technologien
Web-Technologien
Hausaufgaben - Heilpraktikerschule Dr. Klaus Jung
Hausaufgaben - Heilpraktikerschule Dr. Klaus Jung
Unit 4 - nkode.io
Unit 4 - nkode.io
Tätigkeiten in den Bereichen Webapplikationen - oder
Tätigkeiten in den Bereichen Webapplikationen - oder
Prof. Dr. iur Dr. rer. pol. h.c. Carl Baudenbacher Staatsbürger der
Prof. Dr. iur Dr. rer. pol. h.c. Carl Baudenbacher Staatsbürger der
Hausaufgaben - Heilpraktikerschule Jung
Hausaufgaben - Heilpraktikerschule Jung
Unit 1 - nkode.io
Unit 1 - nkode.io
DZP05PM_SiegerteamHe..
DZP05PM_SiegerteamHe..
Vermerk für den Vorsitzenden und die
Vermerk für den Vorsitzenden und die
Herunterladen
Werbung