Effektiver Schutz gegen SQL-Injektionen in PHP

Effektiver Schutz gegen SQL-Injektionen in PHP

Verschiedene Sicherheitsstudien zeigen die Gefährlichkeit schadhafter SQL-Injektionen auf. Mittlerweile sind mehr als die Hälfte aller Angriffe auf Webseiten und Web-Anwendungen eben solche SQLI-Attacken. Entsprechende Einschleusungen böswilliger Befehle in PHP können zu Leaks, Hacks und Datenmanipulation führen. Schwachstellen dieser Art müssen unbedingt ermittelt und geschlossen werden.

Das steckt hinter SQL-Injektionen

Zuerst ermitteln Hacker Anfälligkeiten in Web-Anwendung. Ist eine solche Vulnerability erst einmal gefunden, können böswillige Befehle vornehmlich über manipulierte URLs oder Formulareingaben in den SQL-Interpreter der Datenbank eingeschleust werden. Prüft die Anwendung solche Eingaben nicht, kann die Lücke zur Ausführung schadhafter Commands genützt werden – gerade durch die Verwendung von Metazeichen in Formularen (Doppel-Minus, Strichpunkt, Hochkomma, Backlash), die Interpreter-Sonderfunktionen auslösen. Nun lassen sich Daten auslesen, löschen oder verändern sowie gefährlicher Code für eine spätere Ausführung einpflegen. Administratoren sitzen somit unter Umständen auf einer tickenden Zeitbombe.

So können Schwachstellen gefunden und geschlossen werden

Wie aber können solch potenziell verheerende Angriffe verhindert werden? Ein steter, 100%iger Schutz in allen Bereichen wäre natürlich traumhaft, lässt sich aber nicht so einfach realisieren. Folgende drei Punkte sind zu beachten:

  • Benutzerdefinierte Daten wollen vom SQL-Interpreter durch den Einsatz von Prepared Statements ferngehalten werden. Dadurch ergibt sich eine getrennte Übermittlung von Struktur und Daten und somit keine Injektionsmöglichkeit.
  • Prepared Statements schützen allerdings weder vor Wildcard-Metazeichen noch vor ähnlich gefährlichen Javascript-Angriffen. Hier setzt die Validierung von Benutzereingaben an. Entsprechende Filter legen fest, welcher Input auch tatsächlich weiterverarbeitet wird.
  • Zusätzlich empfiehlt sich regelmäßige Überprüfung der Website auf Sicherheitslücken und andere Schwachstellen, am besten durch entsprechende Tools oder (externe) Experten.

Wenn es um Sicherheit geht, dann ist die pinzweb Werbeagentur Ihr erster Ansprechpartner. Wir kümmern uns um den umfassenden, nachhaltigen und stetig aktuellen Schutz Ihr Website und Web-Anwendungen. Gerne begrüßen wir Sie zu einem kostenlosen Beratungsgespräch!

ZURÜCK ZUR ÜBERSICHT

Neuigkeiten per E-Mail erhalten

Fast täglich gibt es Neues, Faszinierendes rund um’s Online-Marketing, neueste Technologien und mehr zu berichten – und mit der Werbeagentur pinzweb.at GmbH & Co KG sind Sie natürlich immer live dabei!

Unter’m Strich zählt für uns nur eines – digitaler Erfolg und zufriedene Kunden.

© Copyright pinzweb.at 2022

ImpressumDatenschutzerklärung AGB

Pinzweb.at GmbH & Co KG
Raiffeisenstraße 4, 5671 Bruck a. d. Glstr.
Rögergasse 36/6, 1090 Wien

office@pinzweb.at
+43 (0) 6545 20340 | WhatsApp

Special Partners for every
Challenge & solution:


Text und „Enter“ eingeben, um eine Suche zu starten.

Diese Webseite verwendet Cookies
Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Webseite zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Webseite an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie Ihnen bereitgestellt haben oder die im Rahmen Ihrer Nutzung der Dienste gesammelt haben.

Datenschutz
Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.

Unbedingt notwendige Cookies
Unbedingt notwendige Cookies sollten jederzeit aktiviert sein, damit wir deine Einstellungen für die Cookie-Einstellungen speichern können.

Marketing & Statistik
Diese Website verwendet Google Analytics, um anonyme Informationen wie die Anzahl der Besucher der Website und die beliebtesten Seiten zu sammeln. Diesen Cookie aktiviert zu lassen, hilft uns, unsere Website zu verbessern.

Google Tag Manager
Dies ist ein Tag-Management-System. Über den Google Tag Manager können Tags zentral über eine Benutzeroberfläche eingebunden werden. Tags sind kleine Codeabschnitte, die Aktivitätenverfolgen können. Über den Google Tag Manager werden Scriptcodes anderer Tools eingebunden. Der Tag Manager ermöglicht es zu steuern, wann ein bestimmtes Tag ausgelöst wird.