Zur Vermeidung von SQL Injection sollten generell ausschliesslich Prepared Statements verwendet werden #454
Milestone
Comments
mattimaier
pushed a commit
that referenced
this issue
Feb 1, 2022
mattimaier
pushed a commit
that referenced
this issue
Feb 1, 2022
mattimaier
pushed a commit
that referenced
this issue
Feb 2, 2022
mattimaier
pushed a commit
that referenced
this issue
Feb 2, 2022
mattimaier
pushed a commit
that referenced
this issue
Feb 5, 2022
mattimaier
pushed a commit
that referenced
this issue
Feb 7, 2022
mattimaier
pushed a commit
that referenced
this issue
Feb 7, 2022
mattimaier
pushed a commit
that referenced
this issue
Feb 7, 2022
mattimaier
pushed a commit
that referenced
this issue
Feb 8, 2022
|
Durch alle anderen Tests, werden quasi alle Module überprüft. Ein separater Test für die Umwandlung werde ich nicht durchführen bzw. wurde im Rahmen der Entwicklung bereits durchgeführt. Wenn ein Statement oder eine Funktion fehlerhaft ist, sollen neue Tickets angelegt werden. |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
SQL Anweisungen werden im Sourcecode nahezu überall durch String concatenation mit Usereingaben erzeugt. Das eröffnet die Möglichkeit von SQL Injection Angriffen auf die Anwendung und vermutlich ebenfalls den zugehörigen Server.
Aus dem Grunde sollten ganz generell ausschliesslich Prepared SQL Anweisungen verwendet werden und grundsätzlich keine Anwendereingaben in SQL Anweisungen konkateniert werden. Die zugehörige Dokumentation findet sich in der mysql Doku in Kapitel 13.5 (z.B. https://dev.mysql.com/doc/refman/8.0/en/sql-prepared-statements.html für mysql 8.0)
Die aktuelle Implementierung stellt vermutlich eine schwere Sicherheitlücke dar. Ferner ist ggf. leicht, einen Datenschutzvorfall in Form von Abziehen von Nutzerdaten zu provozieren.
The text was updated successfully, but these errors were encountered: