kraft shdl

Mich erreicht eine Mail von Ohmann: „Kannst Du mir zeigen, wie ich SQL-Injection in meiner Abfrage benutze?“ Ich frage mich ob Ohmann unter die Hacker gegangen ist und Frage bei ihm nach, was genau er wissen will. Als Antwort bekomme ich: „Wenn ich in meiner Suchtextbox `or 1=1 or=´ eingebe bekomme ich alle Reihen zurück. Und jemand meinte ich solle SQL-Injection benutzen“

Ich schreibe ihm, dass das SQL-Injection ist. Dabei versucht man nämlich durch manipulierte Eingaben Zugriff auf Daten zu bekommen bzw. Schaden anzurichten. Als einfachste Lösung teile ich ihm mit, dass er das Hochkomma durch eine entsprechende Ersetzung maskieren muss. Dazu muss er das einfache Hochkomma durch zwei ersetzen also: …strSQL.Replace("'", "''"); Ihm zu erklären, dass man besser StoredProcedures verwendet halte ich nicht für zielführend. Doch ich hätte es wissen müssen. Er ist schon mit diesem Lösungsvorschlag überfordert und fragt mehrfach nach, was er ersetzen soll. Diese Anfragen ignoriere ich mit dem Hinweis, dass man das in der ersten Klasse auf der Programmierschule lerne...