SQL Injection Manipulation von Daten: Unterschied zwischen den Versionen

Aus xinux.net
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „=Veränderung von Daten= Auf einem Webserver befindet sich das Script search.cgi zum Anzeigen von Beiträgen. Das Script akzeptiert den Parameter „ID“, wel…“)
 
(Der Seiteninhalt wurde durch einen anderen Text ersetzt: „=Veränderung von Daten=“)
Markierung: Ersetzt
 
Zeile 1: Zeile 1:
 
=Veränderung von Daten=
 
=Veränderung von Daten=
Auf einem Webserver befindet sich das Script search.cgi zum Anzeigen von
 
Beiträgen. Das Script akzeptiert den Parameter „ID“, welcher später Bestandteil der SQL-Abfrage ist. Folgende Tabelle soll dies illustrieren:
 
Erwarteter Aufruf
 
Aufruf http://webserver/cgi-bin/search.cgi?ID=42
 
Erzeugtes
 
SQL SELECT author, subject, text FROM artikel WHERE ID=42;
 
SQL-Injection
 
Aufruf http://webserver/cgibin/search.cgi?ID=42;UPDATE+USER+SET+TYPE="admin"+WHERE+ID=23
 
Erzeugtes
 
SQL
 
SELECT author, subject, text FROM artikel WHERE ID=42; UPDATE USER SET
 
TYPE="admin" WHERE ID=23;
 
Dem Script wird also ein zweiter SQL-Befehl untergeschoben, der die Benutzertabelle verändert.
 

Aktuelle Version vom 15. Juni 2021, 20:48 Uhr

Veränderung von Daten

Abgerufen von „https://xinux.net/index.php?title=SQL_Injection_Manipulation_von_Daten&oldid=24158