• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Ohne Eingabe-Validierung MySQL-Datenbanken unsicher?

8

811

Ein Freund von mir meinte, dass, wenn ich keine Eingabe-Validierung mit PHP oder sonstigem durchführe, jemand so ziemlich leicht an meiner Datenbank "rumfummel" könnte und diese auch löschen könne. Er meinte, dass ein Anführungszeichen (") und ein Semikolon reichen würden um den laufenden MySQL-Befehl abzuschließen und mit dem nächsten zu beginnen. Möglicher weise auch mit "DROP Database ...". Sind MySQL-Datenbanken wirklich so unsicher? Wenn ja, wie kann ich mich gegen Menschen die so etwas böses im Sinn haben schützen?
Für jede Antwort schonmal schönen dank!
 
panamajo

panamajo

811 schrieb:
Sind MySQL-Datenbanken wirklich so unsicher?
Zum Vergrößern anklicken....

Datenbanken (egal welche) sind nur so sicher wie das schwächste Glied in der Kette zur Operationen auf ihnen.
Im angesprochenen Fall (Userinput der via PHP zu SQL Befehlen verarbeitet wird) besteht immer die Möglichkeit einer sog. SQL Injection (was dein Freund ansprach: der Input wird so manipuliert dass die SQL Befehle was ganz anderes machen als gedacht).
Das ist weder eine Schwachstelle in MySQL noch PHP sondern eine konzeptionelle Schwäche der jwlg. Anwendung.

Mehr Info und Tipps zur Vermeidung:
http://www.php.net/manual/de/security.database.sql-injection.php
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben