Moin,

Wie sieht so was aus?

Beispielsweise so:

[Passwort:]
dasistgarnichtmeinPasswort'; GO EXEC cmdshell('shutdown /s') --%'

Artikel zu SQL Injection. Wenn man natürlich die Kontextwechsel beachtet und immer schön escaped, ist das kein Problem (es sei denn die Anfragen kommen so frequentiert, dass ein DoS droht).

Und was versprechen sich Angreifer von so einer art Angriff?

Da gibt es verschiedene Beweggründe, wie Zugriff auf deine Datenbank/Server oder Zerstörung von Daten.

Email war zuerst Benutzername, wurde dann aber geändert. Ich hatte keine Lust, noch ein Feld für Email anzulegen, daher habe ich den Benutzernamen einfach „erweitert“. Auf diese Weise ist es eh viel Praktischer. Wobei ich jetzt mit dem Gedanken spiele, ein zusätzliches Feld für Benutzernamen anzulegen, den man später im Profil ändern kann. Wäre ja auch schön, den auf der Seite angezeigten Namen anpassen zu können.

Naja, ob man jetzt den Anzeigename ändern kann oder nicht, ist vielleicht nicht so relevant, aber sicherlich userfreundlich ;)

Grüße Marco