SQL-Injection
Angriff, der über manipulierte Eingaben unerlaubte Datenbankbefehle einschleust.
SQL-Injection ist eine der bekanntesten Schwachstellen in Webanwendungen. Sie entsteht, wenn Benutzereingaben ungeprüft in eine SQL-Datenbankabfrage übernommen werden. Ein Angreifer kann dadurch eigene Datenbankbefehle einschleusen, um Daten auszulesen, zu verändern, zu löschen oder Authentifizierungsprüfungen zu umgehen.
Die Auswirkungen reichen vom Auslesen kompletter Datenbanken mit Zugangsdaten und Kundendaten bis zur vollständigen Übernahme des Datenbankservers. SQL-Injection gehört seit Jahren zu den am häufigsten in der OWASP-Top-10-Liste geführten Risikoklassen rund um fehlerhafte Eingabeverarbeitung.
Die wirksamste Gegenmassnahme sind parametrisierte Abfragen beziehungsweise Prepared Statements, die Daten und Befehle strikt trennen. Ergänzend wirken eine serverseitige Eingabevalidierung, das Prinzip der minimalen Datenbankrechte und eine Web Application Firewall. Sichere Programmierung von Beginn an ist deutlich wirksamer als nachträgliche Filter.
Sicherheit ist mehr als ein Begriff
In unseren Kursen wird aus Fachwissen praktische Kompetenz — mit verifizierbarem Zertifikat.