SQLinjektion

SQLinjektion bezeichnet eine sicherheitslücke in Anwendungen, bei der Benutzereingaben in SQL-abfragen eingefügt werden und vom Datenbankserver als Teil der Abfrage interpretiert werden. Dadurch kann ein Angreifer unbefugten zugriff auf daten erhalten, daten exfiltrieren, manipulative changes vornehmen oder administrative operationen auf der datenbank ausführen.

Ursachen sind das direkte Aneinanderreihen von eingaben zu sql-anweisungen, mangelnde eingabevalidierung, dynamisch erzeugte sql-abfragen und unzureichende

Auswirkungen umfassen den zugriff auf vertrauliche daten, das ändern oder löschen von datensätzen, das umgehen von

Gegenmaßnahmen umfassen parameterisierte abfragen oder vorbereitete anweisungen, die eingaben strikt als parameter behandeln statt sie direkt

Erkennung und vorbeugung erfolgen durch statische und dynamische sicherheitsanalysen, sicherheitstests und regelmäßige penetrationstests sowie durch sichere