SQL-Injektion von dedlfix, 08.01.2007 10:45

SQL-Injektion

Paul 08.01.2007 10:11

datenbank

Moin,
gibt es eine einfache und doch recht zuverlässige Methode seine Internetseite bezüglich der Sicherheit vor SQL-Injektions zu testen?

Habe eine Internetseite mit MSSQL und möchte nun testen ob meine Sicherheitsabfragen etc. wirksam sind.

Paul

Beitrag melden

– Informationen zu den Bewertungsregeln

SQL-Injektion
dedlfix 08.01.2007 10:45

datenbank
– Informationen zu den Bewertungsregeln
echo $begrüßung;

gibt es eine einfache und doch recht zuverlässige Methode seine Internetseite bezüglich der Sicherheit vor SQL-Injektions zu testen?

Teste was passiert, wenn du ein Stringbegrenzerzeichen eingibst. Gibt es eine Fehlermeldung wegen ungültiger SQL-Syntax, hast du ein Problem. Wird es ohne Probleme als Datenbestandteil gespeichert ist alles in Ordnung. Zumindest auf dieser Baustelle. Es gibt ja noch andere Arten der Einschleusung unerwünschten Codes, aber das hat dann nichts mehr mit SQL direkt zu tun. Gib mal <b>test</b> ein und schau dir an, was passiert wenn du es wieder ausgibst.

echo "$verabschiedung $name";
Beitrag melden

–
Informationen zu den Bewertungsregeln
SQL-Injektion
Robert Bienert Homepage des Autors 08.01.2007 15:59

datenbank
+1 Informationen zu den Bewertungsregeln
Moin!

gibt es eine einfache und doch recht zuverlässige Methode seine Internetseite bezüglich der Sicherheit vor SQL-Injektions zu testen?

Da gibt es zwei Möglichkeiten:

a) Kennst du Sven Rautenbergs Tipps zum Thema »Kontextwechsel«?

b) Lass einen Sicherheits-Audit durchführen.

Ich glaube allerdings, dass a) die praktikablere Möglichkeit ist.

Habe eine Internetseite mit MSSQL und möchte nun testen ob meine Sicherheitsabfragen etc. wirksam sind.

SQL-Injektionen (oder SQL-Injections) sind nicht nur eine Sache von Sicherheitsabfragen, sondern lassen sich prima mit entsprechenden {$DBHERSTELLER}_escape_string-Funktionen vermeiden ($DBHERSTELLER = mysql, pg, …).

Viele Grüße,
Robert
Beitrag melden

+1
Informationen zu den Bewertungsregeln
1. SQL-Injektion
  
  wahsaga Homepage des Autors 08.01.2007 22:17
  
  datenbank
  – Informationen zu den Bewertungsregeln
  hi,
  
  a) Kennst du Sven Rautenbergs Tipps zum Thema »Kontextwechsel«?
  
  Du wolltest vermutlich auf einen anderen Anker in diesem Archivthread verlinken, die verlinkte ist nämlich von moliy - und Sven spricht hier :-)
  
  gruß,
  wahsaga
  
  --
  /voodoo.css:
  #GeorgeWBush { position:absolute; bottom:-6ft; }
  Beitrag melden
  
  –
  Informationen zu den Bewertungsregeln
  Übersicht
  
  alle Foren
  
  SELFHTML-Forum
  
  anmelden
  
  Benutzerkonto erstellen
  
  Beitrag im Thread-Baum
  1. SQL-Injektion
    
    Robert Bienert Homepage des Autors 08.01.2007 22:43
    
    datenbank
    
    – Informationen zu den Bewertungsregeln
    Moin!
    
    Du wolltest vermutlich auf einen anderen Anker in diesem Archivthread verlinken, die verlinkte ist nämlich von moliy - und Sven spricht hier :-)
    
    Copy & Paste ist auch nicht mehr das, was es mal war ;-)
    
    Viele Grüße,
    Robert
    Beitrag melden
    
    –
    Informationen zu den Bewertungsregeln
    
    Übersicht
    
    alle Foren
    
    SELFHTML-Forum
    
    anmelden
    
    Benutzerkonto erstellen
    
    Beitrag im Thread-Baum

SELFHTML Forum - Ergänzung zur Dokumentation Übersicht

Paul: SQL-Injektion

SQL-Injektion

SQL-Injektion

SQL-Injektion

SQL-Injektion

SQL-Injektion

SQL-Injektion