Opened by cookie at 2017-11-24 17:24
User since
2005-01-17
14748 Artikel
Admin1
![[Homepage]](/battie/theme/default/homepage.gif)
2005-01-17
14748 Artikel
Admin1
Vielleicht ist dein Code nur schnell für uns hier gekürzt, aber für Andere, Anfänger und Unvorsichtige sind diese Beispiele etwas riskant.
$DbObj->prepare(Query => 'select * from user where lobbyname = "' . $Lobbyname . '"');
Sowas is aber ziemlich happig! Ungeprüft so verwendet?
'select * from user where lobbyname = "' . $Lobbyname . '"' lädt doch gern zum Spiel mit Bobby Tables ein.
Was ist denn wenn in $Lobbyname ähnliches steht:
" OR 1=1; DROP TABLES CHAT; -- "
Das ergibt dann für das SQL:
select * from user where lobbyname = "" OR 1=1; DROP TABLES CHAT; -- ""
Es empfiehlt sich immer Prepared Statements zu nehmen.
Maßnahmen gegen SQL-Injection
https://www.heise.de/security/artikel/Giftspritze-...
https://www.perl.com/pub/1999/10/DBI.html
https://metacpan.org/pod/DBI
https://perlmaven.com/simple-database-access-using...
http://perl-begin.org/topics/security/code-markup-...
https://de.wikipedia.org/wiki/SQL-Injection
Last edited: 2017-11-24 20:15:50 +0100 (CET)
$DbObj->prepare(Query => 'select * from user where lobbyname = "' . $Lobbyname . '"');
Sowas is aber ziemlich happig! Ungeprüft so verwendet?
'select * from user where lobbyname = "' . $Lobbyname . '"' lädt doch gern zum Spiel mit Bobby Tables ein.
Was ist denn wenn in $Lobbyname ähnliches steht:
" OR 1=1; DROP TABLES CHAT; -- "
Das ergibt dann für das SQL:
select * from user where lobbyname = "" OR 1=1; DROP TABLES CHAT; -- ""
Es empfiehlt sich immer Prepared Statements zu nehmen.
Maßnahmen gegen SQL-Injection
https://www.heise.de/security/artikel/Giftspritze-...
https://www.perl.com/pub/1999/10/DBI.html
https://metacpan.org/pod/DBI
https://perlmaven.com/simple-database-access-using...
http://perl-begin.org/topics/security/code-markup-...
https://de.wikipedia.org/wiki/SQL-Injection
Last edited: 2017-11-24 20:15:50 +0100 (CET)