SQL Injection Manipulation von Daten

Aus xinux.net
Version vom 15. Juni 2021, 19:32 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „=Veränderung von Daten= Auf einem Webserver befindet sich das Script search.cgi zum Anzeigen von Beiträgen. Das Script akzeptiert den Parameter „ID“, wel…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Veränderung von Daten

Auf einem Webserver befindet sich das Script search.cgi zum Anzeigen von Beiträgen. Das Script akzeptiert den Parameter „ID“, welcher später Bestandteil der SQL-Abfrage ist. Folgende Tabelle soll dies illustrieren: Erwarteter Aufruf Aufruf http://webserver/cgi-bin/search.cgi?ID=42 Erzeugtes SQL SELECT author, subject, text FROM artikel WHERE ID=42; SQL-Injection Aufruf http://webserver/cgibin/search.cgi?ID=42;UPDATE+USER+SET+TYPE="admin"+WHERE+ID=23 Erzeugtes SQL SELECT author, subject, text FROM artikel WHERE ID=42; UPDATE USER SET TYPE="admin" WHERE ID=23; Dem Script wird also ein zweiter SQL-Befehl untergeschoben, der die Benutzertabelle verändert.

Abgerufen von „https://xinux.net/index.php?title=SQL_Injection_Manipulation_von_Daten&oldid=24157