© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Bernd Walter schrieb:
> Einfaches Beispiel.
> Du hast eine Webseite wo jemand einen Suchbegriff eingeben kann,
> mit welchem dann ein Datenbankrequest gemacht wird.
> Wenn jemand jetzt ein »"; irgendwas« eingeben kann kann er damit
> einen beliebigen SQL Befehl absetzen, solange du das 1:1
> weiterreichst.
> Hängt natürlich auch noch von anderen Faktoren ab, ob genau dieses
> Beispiel greift - aber vom Prinzip her muss du dafür sorgen, dass Daten
> beim SQL Server auch garantiert nur als Daten ankommen und
> nicht in die Befehlsinterpretation gelangen können.
Natuerlich ist da zunaechst der verantwortungsvolle Programmierer gefragt,
aber ausserdem kann man einen "Sanitizer" dazwischenschalten, der solche
Muster erkennt.
pound (http://www.apsis.ch/pound/, auch in den Ports) wurde bei meinem
frueheren Arbeitgeber benutzt (und als SSL-Wrapper, Loadbalancer und
Failover-Loesung)
Gruss
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 15 Apr 2004 - 04:24:46 CEST