Moin,

gestern wurde unsere ASP Website von einem SQL-Injection-Angriff getroffen.

Dabei wurde ein String in fast sämtliche Felder aller Tabellen eingetragen. Der String beinhaltet ein "<script>"-Bereich, der ein unsichtbares i-frame integriert. Dadurch, daß die meisten Seiten aus dieser Datenbank generiert werden, erschien dann dieser Code auf unseren Seiten.

Zum Glück habe ich das sehr schnell gemerkt und hatte ein relativ aktuelles Backup der Datenbank, was ich dann eingespielen konnte.

Trotzdem stand ich natürlich kurz vorm Herzinfarkt und muß mir nun vorwerfen, mich nicht mit dem Thema SQL-Injection beschäftigt zu haben. Nun meine Fragen zu diesem Thema:

Was kann ich tun um dies in Zukunft zu verhindern?

Auf http://itshort.twoday.net/ scheint jemand eine Funktion anzubieten, die anhand einer Blacklist nach Strings sucht, die gefährlich sein könnten. Man müßte also alles prüfen bevor man Datenbankoperationen durchführt. Ist das der richtige Ansatz?

MfG
MarkX.