Inhalte überspringen »

News

Montag, 7. Dezember 2009 | News

Kampf den SQL-Injections

(Link zum Artikel: http://www.entwickler.de/php//052824)

Stefan Mischook von KillerPHP hat eine interessante Entdeckung gemacht: Jeden Tag registriert er 25 bis 30 Attacken auf sein neues Shopping Cart System. Grund genug für ihn, noch einmal auf die Gefahren aufmerksam zu machen.

Das Thema SQL-Injection ist also noch immer ein Dauerbrenner im Web. Unachtsame Entwickler können sich mit über Formfelder eingeschleusten SQL-Code allerhand Ärger einfangen. Da kann es schon mal passieren, dass Tabellen von Angreifern ins Jenseits befördert werden. Verständlich, dass solche Zeitgenossen nicht zu Mischooks besten Freunden gehören: Man, if I could just get my hands on one of these guys ….

Allerdings hat er ein paar Ratschläge auf Lager, wie man sich vor solchen Angriffen schützen kann. Zum einen ist natürlich die Funktion mysql_real_escape_string() zu nennen, mit der spezielle Zeichen von PHP maskiert werden. Zum anderen verweist er auf das ORM-System (Object Relational Mapper) Doctrine und natürlich auf die Klasse PDOStatement.

Es gibt also Dinge, für die man etwas mehr Zeit aufwenden sollte. Zum Beispiel eben das Absichern gegen SQL-Injections. Gut, dass Mischook ohnehin gut lachen hat – die von ihm bei dem Shopping Cart System beobachteten Angriffe laufen ohnehin ins Leere: Das System kommuniziert nicht mal mit einer relationalen Datenbank.

(tw)

Kommentare

blu ray 07.12.2009
um 12:51 Uhr ja ich hatte da auch mal probleme mit.
die haben mir die ganze datenbank gelöscht die säcke :-( #zitieren

Trepper 07.12.2009
um 13:07 Uhr Prepared Statments nutzen und fertig! Wenn man nicht gerade total kranke Konstrukte baut, die SQL bewusst als Parameter enthalten, kann dann nichts mehr passieren. #zitieren

Peter P. 07.12.2009
um 14:37 Uhr Bin kein PHPler (eher zufällig hier), aber gibt's denn für PHP keinerlei Frameworks, die sich um die Persistenzschicht kümmern? #zitieren

Torsten 07.12.2009
um 17:44 Uhr Bei meinem Webspace machen diverse Versuche schon über 10% der Anfragen aus!

Mit Hilfe der htaccess werden jetzt die URL-Parameter gefiltert und gegebenfalls mit Fehlercode 400 geblockt.

Ich damit zwar die Anfragen nicht verhindern, aber den Traffic senken, da Fehlerseiten klein sind!

% und Leerzeichen ( + & co) kommen in meinen Übergabeparametern nicht vor! #zitieren

Peter P. 07.12.2009
um 18:55 Uhr Bin ich froh, dass ich Hibernate habe #zitieren

Nelson 29.04.2010
um 21:04 Uhr Thanks for nice article. I want to add a good form builder which would help everybody who is in need in building php forms. #zitieren

+ Neuen Kommentar verfassen

Folgende Links könnten Sie auch interessieren

4-Gewinnt: Die besten PHP-Projekte [31.03.2008]
[http://entwickler.de/zonen/portale/psecom,id,99,news,42400,.html]
Auf den Zahn gefühlt: PHP an MySQL anbinden [14.04.2008]
[http://entwickler.de/zonen/portale/psecom,id,99,news,42675,.html]
PHP is King und Ruby ist raus [15.07.2009]
[http://entwickler.de/zonen/portale/psecom,id,99,news,49899,.html]
Kampf den SQL-Injections [07.12.2009]
[http://entwickler.de/zonen/portale/psecom,id,99,news,52824,.html]
Killersites mit Video-University [20.01.2010]
[http://entwickler.de/zonen/portale/psecom,id,99,news,53450,.html]