SQL-Injection

Allgemein

SQL-Injection ist eine Injektion Angriff, bei dem ein Hacker verwendet / injiziert bösartige SQL-Anweisungen für das Datenbank-Repository in IT-Lösungen. Der Angreifer könnte zum Beispiel verwendet werden Login-Informationen auf einer Website oder private Informationen über die Mitarbeiter eines Unternehmens / Kunden zu stehlen.

SQL Injektion kann beispielsweise auch in einer Datenbank zu löschen Daten verwendet werden. Es ist daher immer eine gute Idee, Backup alle seine Daten und verhindern so gegen SQL-Injektionen wie möglich. Sie können mehr über das Verhindern von SQL-Injektion weiter unten im Artikel zu lesen.

Es kann sein, dass eines Tages ein Hacker vorbei kommt. In einer solchen Situation ist es immer gut, ein Backup zur Verfügung zu haben, so dass der gesamte Inhalt wiederhergestellt werden kann, wenn sich ein Unfall ereignet.

Beispiel dafür, wie SQL-Injection funktioniert.

Ein Beispiel für eine SQL-Injection ist auf einem normalen Login-Seite basiert in der Regel, wenn ein Benutzer Benutzernamen und ein Passwort eingibt ein sicheres Netzwerk oder eine Benutzerverwaltung Panel auf einer Website einzugeben.

Wenn ein Benutzer anmelden versucht, schickte die Login-Informationen an einen Web-Server entfernt. Es wird eine SQL-Abfrage (SQL-Aufrufe) mit Informationen gemacht werden, die in einer Datenbank überprüft werden, wenn der Nutzer ein wirklich verwenden ist, und wie viel dieser Benutzer Zugriff haben soll – zum Beispiel ein normaler Benutzer oder Admin-Benutzer. Mit anderen Worten – überprüft die Website, um die Login-Seite und die Kommunikation mit der Datenbank durch bestimmte Befehle, die überprüft werden, ob es sich um eine reale Benutzer in der Datenbank, die sich anmelden versuchen.

Mit SQL-Injection, kann ein Angreifer mit den richtigen SQL-Aufrufe über ein Anmeldeformular vorbei – nach zu sehen, was hinter Authentifizierung liegt. Dies ist nur möglich, wenn für „benutzerdefinierte Fehler / Scripts“ nicht blockiert ist, die direkt an die Datenbank gesendet werden.

SQL-Injection-Hacker

Eine SQL-Injection-Hacker haben in der Regel ein gutes Wissen über SQL queryes und den Technologien, die in der Lösung verwendet werden. Der Hacker kann dann kreative Wege finden, SQL zu verwenden, auf, wie zum Beispiel für die Ausgabe wichtiger Datenbanktabellen in einer Datenbank verwendet. SQL-Injection ist relativ einfach im Vergleich zu anderen Methoden der Hacker. Es wurde von der Durchführung Hacking auf SQL-Injection zu einem der beliebtesten Möglichkeiten gemacht.

Sensitive Programmiersprache und SQL-Injection

Es gibt viele Programmiersprachen , die auf SQL – Injection empfindlich sind: Cold Fusion, PHP, klassischen ASP, ASP.NET, JSP und CGI. Es wird daher immer empfohlen , einen Experten in Kontakt IT – Sicherheit , so dass SQL – Injection mit möglichst verhindert werden.

Wie zum Schutz vor SQL-Injection

Es ist schwer, sich zu 100% vor SQL-Injection zu schützen. Firewalls und ähnliche Mechanismen hilft nicht, zum Beispiel, wenn man gezwungen ist, ihre Website für den Verkehr offen zu haben, so dass die Besucher die Website zu nutzen.

Zum Schutz vor SQL-Injection in Ihrer IT-Lösung zu erhöhen, können Sie wollen, zu betrachten:

  • Die Verwendung von Prepared Statements mit parametrisierte Abfragen
  • Die Verwendung von Stored Procedures
  • Eingabevalidierung

Es gibt viele gute Artikel, die zu diesen Themen zu erweitern, so können Sie mehr über SQL-Injection und beskyttelselse gegen SQL-Injection lernen.