Leistungen
Leistungen
Überblick
Leistungsangebot
Kernkompetenzen
Schulungsthemen
In-House-Schulungen
Offene .NET-Seminare
Offene WPS-Seminare
Beratung
Coaching
Support
Softwareentwicklung
Entwickler-Vermittlung
.NET/Visual Studio
TFS/ALM/Scrum
Webprogrammierung
PowerShell
Konditionen
Anfrage/Kontakt
Beratung/Coaching
Beratung/Coaching
Beratungsthemen
Coaching
Unsere Berater
Referenzkunden
Konditionen
Angebotsanfrage
In-House-Schulungen
In-House-Schulungen
Überblick
Themen/Fachgebiete
Schulungskonfigurator
Konzepte
.NET/Visual Studio
C#
VB.NET
ASP.NET
Moderne Webanwendungen
TFS/ALM/Scrum
PowerShell
Konferenzvortraege
Referenzkunden
Unsere Trainer
Konditionen
Angebotsanfrage
Offene Schulungen
Offene Schulungen
Überblick .NET-Seminare
.NET/C#-Basisseminar
WPF (Desktop)
ASP.NET/AJAX (Web)
WCF/WF (SOA)
ADO.NET/EF (Data)
Windows PowerShell
.NET, C#, VB, Visual Studio
.NET, C#, VB, Visual Studio
Startseite
Beratung/Training
Offene .NET-Seminare
Einführung
Lexikon
Artikel
Bücher
Klassenreferenz
Programmiersprachen
Entwicklerwerkzeuge
Softwarekomponenten
World Wide Wings Demo
Codebeispiele
Scripting
ASP.NET
.NET 2.0
.NET 3.0/3.5
.NET 4.0/4.5
Community
Forum
Kommerzielle Leistungen
ASP.NET
ASP.NET
Startseite
Lexikon
Sicherheit
Konfiguration
Global.asax
Tracing
Technische Beiträge
Klassenreferenz
Programmiersprachen
Entwicklerwerkzeuge
Softwarekomponenten
PowerShell
PowerShell
Überblick
Beratung
In-House-Schulungen
Öffentliche Schulungen
Codebeispiele
Commandlet Extensions
Offene PowerShell-Seminare
Inhouse-Seminare
Windows
Windows
Startseite
Windows Runtime (WinRT)
Windows PowerShell
Windows Scripting
Windows-Schulungen
Windows-Lexikon
Windows-Forum
Windows Scripting
Windows Scripting
Startseite
Lexikon
FAQ
Buecher
Architektur
Skriptsprachen
Scripting-Hosts
Scripting-Komponenten
COM/DCOM/COM+
ADSI
WMI
Scripting-Tools
WSH-Editoren
Codebeispiele
ASP.NET
.NET-Scripting
Forum
Links
Kommerzielle Leistungen
Service
Service
Website-FAQ
Anmeldung/Login
Leser-Registrierung
Gast-Registrierung
Nachrichten/RSS
Newsletter
Foren
Weblog
Lexikon
Downloads
Support
Kontakt
Literaturtipps
Publikationen
Publikationen
Redaktionsbüro
Bücher
Fachartikel
Leser-Portal
Autoren gesucht!
Rezensionen
Über uns
Über uns
Holger Schwichtenberg
Team
Referenzkunden
Kundenaussagen
Referenzprojekte
Partner
Site Map
Weitere Websites
Tag Cloud
Impressum
Rechtliches

Angriffe mit SQL-Injections

SQL Injection bedeutet, dass es einem Angreifer gelingt, SQL-Befehle, die ihre Anwendung verwendet, zu verändern oder durch eigene Befehle zu ersetzen. Möglich ist dieser Angriff, wenn ihre Anwendung Benutzereingaben oder sonstige ungeschützte Informationen (z.B. URL-Parameter oder unverschlüsselte Cookies) als Eingabeparameter in SQL-Befehlen verwendet.

Angriffsbeispiel



Ein typisches Beispiel ist ein SQL-Befehl wie
SELECT * FROM Benutzer WHERE BName = '" + Name.Text + "' and BKennwort = '" + Kennwort.Text + "'"
mit dem geprüft werden soll, ob es die angegebene Kombination aus Benutzername und Kennwort in der Datenbank gibt, mit der gleichzeitig Daten über die betreffenden Benutzer abgerufen werden.
Benutzername und Kennwort werden üblicherweise in einem Anmeldedialog von dem Endbenutzer eingegeben. Die beiden folgenden Bildschirmdarstellungen zeigen zwei mögliche Eingaben. In beiden Fällen wird das Kennwort absichtlich in diesen Bildschirmdarstellungen offen angezeigt.
Eine Eingabe wie
' or 1=1 --
stellt einen Angriff in Form einer SQL Injection dar.

Daraus entsteht beim Zusammenbau des SQL-Befehls folgende Anweisung
SELECT * FROM Benutzer WHERE BName = 'HS' and BKennwort = ' ' or 1=1 -- '
Dieser SQL-Befehl wird immer alle Datensätze, die es für den Benutzer "HS" gibt, zurückliefern, da der Ausdruck 1=1 immer wahr ist. Das Ergebnis ist, dass der Benutzer erfolgreich angemeldet werden kann, obwohl er das richtige Kennwort gar nicht kennt. Die beiden Striche am Ende der Eingabe des Angreifers sind Kommentarzeichen und sorgen dafür, dass der Rest des ursprünglichen SQL-Befehls ignoriert wird.

Ein Angreifer könnte auch auf diese Weise noch viel gefährlichere SQL-Befehle einschleusen, z.B.
'; DROP TABLE Benutzer --

Schutz vor diesem Angriff


Gegen solche SQL-Injektionsangriffe schützt man sich durch zwei Maßnahmen:
- Verwendung parametrisierter Abfragen und der Parameters-Menge anstelle des Zusammenbaus von SQL-Befehlen aus Zeichenketten
- Filtern aller potentiell gefährlichen Zeichen, insbesondere des einfachen Anführungszeichens, aus der Eingabe
Grundsätzlich reicht eine der beiden Maßnahmen. Getreu dem Motto "Sicher-ist-Sicher" kann aber auch die Verwendung beider Maßnahmen nicht schaden.

Dim SQL = "SELECT * FROM b_Benutzer WHERE " & "B_Name = ? and B_Kennwort = ?"
DS = New System.Data.DataSet
DA = New System.Data.OleDb.OleDbDataAdapter(SQL, (CONNSTRING))
'Dim p As New OleDbParameter
DA.SelectCommand.Parameters.Add("@Name", System.Data.OleDb.OleDbType.VarChar, 30).Value = name
DA.SelectCommand.Parameters.Add("@Kennwort", System.Data.OleDb.OleDbType.VarChar, 30).Value = kennwort
Listing: Verwendung parametrisierter Abfragen und der Parameters-Menge anstelle des Zusammenbaus von SQL-Befehlen aus Zeichenketten

name = SafeSql(name)
kennwort = SafeSql(kennwort)
Dim SQL = "SELECT * FROM b_Benutzer WHERE " & _
   "B_Name = '" & name & _
"' and B_Kennwort = '" & kennwort & "'"

Public Shared Function SafeSql(ByVal s As String) As String
   Return s.Replace("'", "''")
End Function
Listing: Filtern aller potentiell gefährlichen Zeichen, insbesondere des einfachen Anführungszeichens, aus der Eingabe

Weitere Informationen finden Sie in diesen Beiträgen:
SQL-Injektionsangriff (SQL Injection)