You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
SQL Anweisungen werden im Sourcecode nahezu überall durch String concatenation mit Usereingaben erzeugt. Das eröffnet die Möglichkeit von SQL Injection Angriffen auf die Anwendung und vermutlich ebenfalls den zugehörigen Server.
Aus dem Grunde sollten ganz generell ausschliesslich Prepared SQL Anweisungen verwendet werden und grundsätzlich keine Anwendereingaben in SQL Anweisungen konkateniert werden. Die zugehörige Dokumentation findet sich in der mysql Doku in Kapitel 13.5 (z.B. https://dev.mysql.com/doc/refman/8.0/en/sql-prepared-statements.html für mysql 8.0)
Die aktuelle Implementierung stellt vermutlich eine schwere Sicherheitlücke dar. Ferner ist ggf. leicht, einen Datenschutzvorfall in Form von Abziehen von Nutzerdaten zu provozieren.
The text was updated successfully, but these errors were encountered:
Durch alle anderen Tests, werden quasi alle Module überprüft. Ein separater Test für die Umwandlung werde ich nicht durchführen bzw. wurde im Rahmen der Entwicklung bereits durchgeführt. Wenn ein Statement oder eine Funktion fehlerhaft ist, sollen neue Tickets angelegt werden.
SQL Anweisungen werden im Sourcecode nahezu überall durch String concatenation mit Usereingaben erzeugt. Das eröffnet die Möglichkeit von SQL Injection Angriffen auf die Anwendung und vermutlich ebenfalls den zugehörigen Server.
Aus dem Grunde sollten ganz generell ausschliesslich Prepared SQL Anweisungen verwendet werden und grundsätzlich keine Anwendereingaben in SQL Anweisungen konkateniert werden. Die zugehörige Dokumentation findet sich in der mysql Doku in Kapitel 13.5 (z.B. https://dev.mysql.com/doc/refman/8.0/en/sql-prepared-statements.html für mysql 8.0)
Die aktuelle Implementierung stellt vermutlich eine schwere Sicherheitlücke dar. Ferner ist ggf. leicht, einen Datenschutzvorfall in Form von Abziehen von Nutzerdaten zu provozieren.
The text was updated successfully, but these errors were encountered: