Drucken
PDF

How to avoid Bobby Tables - SQL Spritzen wirken

Geschrieben von: HanjoLix.

In a way. Did you really name your son Robert'); DROP TABLE Students;-- ?vom comic strip xkcd

Schule: "Hallo, hier spricht die Schule Ihres Sohnes. Wir haben Computerprobleme."
Mutter: "Auweia – hat er etwas kaputt gemacht?"
Schule: "So ähnlich. Haben sie wirklich Ihren Sohn Robert'); DROP TABLE Students;-- genannt?"
Mutter: "Oh. Ja. Wir rufen ihn Klein Bobby Tables."
Schule: "Also, der Datenbestand der Schüler dieses Jahres ist jetzt futsch. Ich hoffe, Sie sind jetzt glücklich."
Mutter: "Und ich hoffe, Sie haben gelernt, Datenbankeingaben zu säubern.

 

Wie vermeidet man(n) Bobby Tables bzw. Injektionen aus dem bösen Internet ?

  • Indem man keine SQL-Anweisungen erstellt, die vom bösen Internet verfüttert werden.
  • Indem man SQL-Aufrufe mit Parametern tätigt.

Das ist (fats) alles. Nicht versuchen, ungültige Zeichen zu maskieren etc. - Nicht versuchen zu übergebende Daten manuell zu bereinigen bzw. säubern. Lerne einfach parameterisierte Anweisungen zu nutzen - immer und ohne Ausnahme.

Weitere Quellen zum Thema SQL Injektionen