Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Quelle: xkcd.com SQL Injections.

Ähnliche Präsentationen


Präsentation zum Thema: "Quelle: xkcd.com SQL Injections."—  Präsentation transkript:

1 Quelle: xkcd.com SQL Injections

2 Fallstudie

3 Mögliche Angriffe SELECT Passwort FROM Benutzer
WHERE Benutzername = ''; DROP TABLE Benutzer; -- '

4 Happy Hacking Fallstudie auf Ziel: Überwinden der Anmeldung
Ziel: Überwinden der Anmeldung mysql_query() erlaubt nur eine Anfrage. D.h. die ‘; Angriffe funktionieren nicht Man muss die codierte Anfrage geschickt manipulieren

5 „Sanitize your inputs“
is_numeric() intval() Funktionen zur Behandlung von Variablen is_int() Benutzereingaben überprüfen und bereinigen Gefährliche Zeichen in Zeichenketten escapen mysql_real_escape_string() $user = mysql_real_escape_string($_POST["user"]);

6 Weitere Maßnahmen Rechte des Datenbankbenutzers einschränken
Keine Fehler oder Debug Ausgaben Verwendung von Bibliotheken Prepared Statements (z.B. mysqli) Objekt-Relational-Mapper (z.B. propel)


Herunterladen ppt "Quelle: xkcd.com SQL Injections."

Ähnliche Präsentationen


Google-Anzeigen