Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

SQL Injections Quelle: xkcd.com. Fallstudie Mögliche Angriffe SELECT Passwort FROM Benutzer WHERE Benutzername = ''; DROP TABLE Benutzer; -- '

Ähnliche Präsentationen


Präsentation zum Thema: "SQL Injections Quelle: xkcd.com. Fallstudie Mögliche Angriffe SELECT Passwort FROM Benutzer WHERE Benutzername = ''; DROP TABLE Benutzer; -- '"—  Präsentation transkript:

1 SQL Injections Quelle: xkcd.com

2 Fallstudie

3 Mögliche Angriffe SELECT Passwort FROM Benutzer WHERE Benutzername = ''; DROP TABLE Benutzer; -- '

4 Happy Hacking Fallstudie auf – Ziel: Überwinden der Anmeldung mysql_query() erlaubt nur eine Anfrage. – D.h. die ‘; Angriffe funktionieren nicht – Man muss die codierte Anfrage geschickt manipulieren

5 „Sanitize your inputs“ Gefährliche Zeichen in Zeichenketten escapen mysql_real_escape_string() Benutzereingaben überprüfen und bereinigen is_numeric() intval() Funktionen zur Behandlung von Variablen is_int() $user = mysql_real_escape_string($_POST["user"]);

6 Weitere Maßnahmen Rechte des Datenbankbenutzers einschränken Keine Fehler oder Debug Ausgaben Verwendung von Bibliotheken – Prepared Statements (z.B. mysqli) – Objekt-Relational-Mapper (z.B. propel)


Herunterladen ppt "SQL Injections Quelle: xkcd.com. Fallstudie Mögliche Angriffe SELECT Passwort FROM Benutzer WHERE Benutzername = ''; DROP TABLE Benutzer; -- '"

Ähnliche Präsentationen


Google-Anzeigen