next up previous contents
Next: Beispiele Up: XSS im Detail Previous: Beispiele   Contents

SQL-Injection

Benutzt die Web-Anwendung eine Datenbank, so kann ein Angreifer durch geschickte Manipulation der Parameter SQL-Anweisungen verändern und damit die Ergebnisse für seine Zwecke beeinflussen. Grund ist, dass oft die Parameter Teil der SQL-Anweisung gemacht werden.

Schutzmaßnahmen sind auch hier wieder die Prüfung der Parameter auf unerwünschte Eingaben. Besondere Zeichen, wie Komma, Semikolon oder Anführungszeichen, müssen mit Escape-Sequenzen versehen werden (``quoting''). Weiterhin sollten interne, sicherheitskritische Daten nicht auf den gleichen Servern gespeichert werden, wo auch öffentliche Daten liegen, sondern auf getrennten und besonders gesicherten Servern.



Subsections

Stephan Uhlmann 2003-09-01