Sie sind hier:
Wissen
Top-Know-how seit 25 Jahren!
Telefon (Mo-Fr 9 bis 16 Uhr): 0201/649590-0 |
Kontaktformular
Alles auch online!
MENU
Medien
Übersicht
Lexikon/Glossar
Weblog
Konferenzvorträge
Fachbücher
Fachartikel
Leserportal
Autoren gesucht!
Literaturtipps
Downloads
Newsletter
.NET
Startseite
.NET 6.0
.NET 5.0
.NET Core
.NET 4.0/4.5.x/4.6.x
.NET 3.0/3.5
.NET 2.0
.NET-Lexikon
Programmiersprachen
Entwicklerwerkzeuge
Klassenreferenz
Softwarekomponenten
Windows Runtime
World Wide Wings-Demo
Versionsgeschichte
Codebeispiele
ASP.NET
Artikel
Bücher
Schulung & Beratung
ASP.NET
Startseite
Lexikon
Sicherheit
Konfiguration
Global.asax
Tracing
Technische Beiträge
Klassenreferenz
Programmiersprachen
Entwicklerwerkzeuge
Softwarekomponenten
Forum
Schulung & Beratung
PowerShell
Startseite
Commandlet-Referenz
Codebeispiele
Commandlet Extensions
Versionsgeschichte
Schulungen+Beratung
Windows
Startseite
Windows Runtime (WinRT)
Windows PowerShell
Windows Scripting
Windows-Schulungen
Windows-Lexikon
Windows-Forum
Scripting
Startseite
Lexikon
FAQ
Bücher
Architektur
Skriptsprachen
Scripting-Hosts
Scripting-Komponenten
COM/DCOM/COM+
ADSI
WMI
WMI-Klassenreferenz
Scripting-Tools
WSH-Editoren
Codebeispiele
.NET-Scripting
Forum
Schulung & Beratung
Nutzer
Anmeldung/Login
Buchleser-Registrierung
Gast-Registrierung
Hilfe
Website-FAQ
Technischer Support
Site Map
Tag Cloud
Suche
Kontakt
Erklärung des Begriffs: SQL-Injektionsangriff
Zur Stichwortliste unseres Lexikons
Was ist
SQL-Injektionsangriff
?
Ein
SQL
-Injektionsangriff (
SQL
Injection) bedeutet, dass es einem Angreifer gelingt,
SQL
-Befehle, die eine Anwendung verwendet, zu verändern oder durch eigene Befehle zu ersetzen, um dadurch von dem Entwickler der Anwendung nicht gewünschte Befehle auf der
Datenbank
auszuführen. Möglich ist dieser Angriff, wenn ihre Anwendung Benutzereingaben oder sonstige ungeschützte Informationen (z.B.
URL
-Parameter oder unverschlüsselte Cookies) als Eingabeparameter in
SQL
-Befehlen verwendet.
Angriffsbeispiel
Ein typisches Beispiel ist ein
SQL
-Befehl wie
SELECT * FROM Benutzer WHERE BName = '" + Name.Text + "' and BKennwort = '" + Kenn-wort.Text + "'"
mit dem geprüft werden soll, ob es die angegebene Kombination aus Benutzername und Kennwort in der
Datenbank
gibt, mit der gleichzeitig Daten über die betreffenden Benutzer abgerufen werden.
Benutzername und Kennwort werden üblicherweise in einem Anmeldedialog von dem Endbenutzer einge-geben. Die beiden folgenden Bildschirmdarstellungen zeigen zwei mögliche Eingaben. In beiden Fällen wird das Kennwort absichtlich in diesen Bildschirmdarstellungen offen angezeigt.
Eine Eingabe wie
' or 1=1 --
stellt einen Angriff in Form einer
SQL
Injection dar.
Daraus entsteht beim Zusammenbau des
SQL
-Befehls folgende Anweisung
SELECT * FROM Benutzer WHERE BName = 'HS' and BKennwort = ' ' or 1=1 -- '
Dieser
SQL
-Befehl wird immer alle Datensätze, die es für den Benutzer »HS« gibt, zurückliefern, da der Ausdruck 1=1 immer wahr ist. Das Ergebnis ist, dass der Benutzer erfolgreich angemeldet werden kann, obwohl er das richtige Kennwort gar nicht kennt. Die beiden Striche am Ende der Eingabe des Angreifers sind Kommentarzeichen und sorgen dafür, dass der Rest des ursprünglichen
SQL
-Befehls ignoriert wird.
Ein Angreifer könnte auch auf diese Weise noch viel gefährlichere
SQL
-Befehle ein-schleusen, z.B.
'; DROP TABLE Benutzer –
Schutz vor
SQL
-Injektionsangriffen
Gegen solche
SQL
-Injektionsangriffe schützt man sich durch zwei Maßnahmen:
Verwendung parametrisierter Abfragen und der Parameters-Menge anstelle des Zusammenbaus von
SQL
-Befehlen aus Zeichenketten
Filtern aller potentiell gefährlichen Zeichen, insbesondere des einfachen Anführungszeichens, aus der Eingabe
Grundsätzlich reicht eine der beiden Maßnahmen. Getreu dem Motto "Sicher-ist-Sicher" kann aber auch die Verwendung beider Maßnahmen nicht schaden.
Dim
SQL
= "SELECT * FROM b
Benutzer WHERE " & "B_Name = ? And B
Kennwort = ?"
DS = New
System.Data
.
DataSet
DA = New
System.Data
.OleDb.OleDb
DataAdapter
(
SQL
, (CONNSTRING))
'Dim p As New OleDbParameter
DA.SelectCommand.Parameters.Add("@Name",
System.Data
.OleDb.OleDbType.VarChar, 30).Value = name
DA.SelectCommand.Parameters.Add("@Kennwort",
System.Data
.OleDb.OleDbType.VarChar, 30).Value = kennwort
Listing: Verwendung parametrisierter Abfragen und der Parameters-Menge anstelle des Zusammenbaus von
SQL
-Befehlen aus Zeichenketten
name = SafeSql(name)
kennwort = SafeSql(kennwort)
Dim
SQL
= "SELECT * FROM b
Benutzer WHERE " &
"B
Name = '" & name &
"' and B_Kennwort = '" & kennwort & "'"
Public Shared Function SafeSql(ByVal s As String) As String
Return s.Replace("'", "''")
End Function
Listing: Filtern aller potentiell gefährlichen Zeichen, insbesondere des einfachen Anführungszeichens, aus der Eingabe
Querverweise zu anderen Begriffen im Lexikon
SQL
URL
System.Data.OleDb
System.Data
DataAdapter
Datenbank
DataSet
Beratung & Support:
Anfrage für Beratung/Consulting zu den Themen SQL-Injektionsangriff;
Gesamter Beratungsthemenkatalog
Technischer Support zum Themen SQL-Injektionsangriff;
Schulungen zu diesem Thema
Anfrage für eine individuelle Schulung zum Thema SQL-Injektionsangriff;
Gesamter Schulungsthemenkatalog
Bücher zu diesem Thema
Alle unsere aktuellen Fachbücher
E-Book-Abo für nur 99 Euro im Jahr