Comments on: SQL-Injection kurz erklärt http://burnachurch.com/87/sql-injection-kurz-erklaert/ Zucht und Ordnung from hell Sat, 31 Jul 2010 16:37:02 +0000 http://wordpress.org/?v=2.7 hourly 1 By: Arno http://burnachurch.com/87/sql-injection-kurz-erklaert/#comment-1931 Arno Wed, 27 Jan 2010 13:07:48 +0000 http://burnachurch.com/?p=87#comment-1931 Technisch hast du Recht. Das wäre dann eine saubere Lösung, die sich allerdings negativ auf die Performance auswirken würde. Andererseits gibt es natürlich immer mehr als einen Weg ein Problem anzugehen, ich wählte mein Beispiel natürlich so, dass das ursächliche Problem - die SQL-Injection - durchführbar ist. Ich hatte ja nicht behauptet, das meine Anwendung sinnvoll ist. ;) Technisch hast du Recht. Das wäre dann eine saubere Lösung, die sich allerdings negativ auf die Performance auswirken würde.
Andererseits gibt es natürlich immer mehr als einen Weg ein Problem anzugehen, ich wählte mein Beispiel natürlich so, dass das ursächliche Problem - die SQL-Injection - durchführbar ist. Ich hatte ja nicht behauptet, das meine Anwendung sinnvoll ist. ;)

]]> By: detru http://burnachurch.com/87/sql-injection-kurz-erklaert/#comment-1930 detru Wed, 27 Jan 2010 07:45:42 +0000 http://burnachurch.com/?p=87#comment-1930 wäre es nicht viel einfacher, (um beim Beispiel der shoutbox zu bleiben) immer folgendes query abzuschicken: ""SELECT user.name, shouts.shout FROM shouts INNER JOIN user USING(owner) WHERE visibility=1", dass Ergebnis in einer internen Liste speichern und auf die dann (bspw. mittels LINQ) zuzugreifen und die eigentliche Abfrage (nämlich ob ein Objekt mit der eingegebenen ID existiert) darauf auszuführen? Das könnte man dann noch soweit machen das nur ein SQL Statement auf die Datenbank ausgeführt wird wenn sich der Inhalt der Tabelle verändert hat (was ja nur passieren kann, wenn entweder der admin die visibility umsetzt, oder ein Benutzer einen neuen Kommentar hinterlässt) der DB Zugriff wäre dadurch sauber gekapselt und es wäre (soweit ich es beurteilen kann) nicht mehr möglich überhaupt auf die Datenbank zuzugreifen, solange man nicht das Adminpasswort hat (und die Adresse zum backend). wäre es nicht viel einfacher, (um beim Beispiel der shoutbox zu bleiben) immer folgendes query abzuschicken: “”SELECT user.name, shouts.shout FROM shouts INNER JOIN user USING(owner) WHERE visibility=1″, dass Ergebnis in einer internen Liste speichern und auf die dann (bspw. mittels LINQ) zuzugreifen und die eigentliche Abfrage (nämlich ob ein Objekt mit der eingegebenen ID existiert) darauf auszuführen?

Das könnte man dann noch soweit machen das nur ein SQL Statement auf die Datenbank ausgeführt wird wenn sich der Inhalt der Tabelle verändert hat (was ja nur passieren kann, wenn entweder der admin die visibility umsetzt, oder ein Benutzer einen neuen Kommentar hinterlässt)

der DB Zugriff wäre dadurch sauber gekapselt und es wäre (soweit ich es beurteilen kann) nicht mehr möglich überhaupt auf die Datenbank zuzugreifen, solange man nicht das Adminpasswort hat (und die Adresse zum backend).

]]> By: Dobschat » Links vom 20. Januar 2010 bis 21. Januar 2010 http://burnachurch.com/87/sql-injection-kurz-erklaert/#comment-1927 Dobschat » Links vom 20. Januar 2010 bis 21. Januar 2010 Thu, 21 Jan 2010 22:01:49 +0000 http://burnachurch.com/?p=87#comment-1927 [...] – So einfach, wie es einige gerne hätten ist es halt nicht mit dem Extremismus.burn a church » SQL-Injection kurz erklärt – Kann nie schaden, sich von Zeit zu Zeit wieder mal an solche Sachen erinnern zu lassen.Das [...] [...] – So einfach, wie es einige gerne hätten ist es halt nicht mit dem Extremismus.burn a church » SQL-Injection kurz erklärt – Kann nie schaden, sich von Zeit zu Zeit wieder mal an solche Sachen erinnern zu lassen.Das [...]

]]> By: Tweets that mention burn a church » SQL-Injection kurz erklärt -- Topsy.com http://burnachurch.com/87/sql-injection-kurz-erklaert/#comment-1924 Tweets that mention burn a church » SQL-Injection kurz erklärt -- Topsy.com Tue, 19 Jan 2010 17:23:49 +0000 http://burnachurch.com/?p=87#comment-1924 [...] This post was mentioned on Twitter by Seraphyn and knut, Jeff. Jeff said: http://burnachurch.com/87/sql-injection-kurz-erklaert/ #php [...] [...] This post was mentioned on Twitter by Seraphyn and knut, Jeff. Jeff said: http://burnachurch.com/87/sql-injection-kurz-erklaert/ #php [...]

]]> By: deadtronic http://burnachurch.com/87/sql-injection-kurz-erklaert/#comment-1923 deadtronic Tue, 19 Jan 2010 11:32:24 +0000 http://burnachurch.com/?p=87#comment-1923 Also kurz ist was anderes :D Aber sonst sehr schön und sachlich geschrieben, auch wenn ichs mir nicht komplett durchgelesen habe, so weit geht mein Interesse an Datenbanken nun auch nicht. Die Dinger sollen halt tun und Webseiten bei denen Sicherheit eine ernsthafte Rolle spielt setze ich (besser) nicht auf ;). Also kurz ist was anderes :D
Aber sonst sehr schön und sachlich geschrieben, auch wenn ichs mir nicht komplett durchgelesen habe, so weit geht mein Interesse an Datenbanken nun auch nicht. Die Dinger sollen halt tun und Webseiten bei denen Sicherheit eine ernsthafte Rolle spielt setze ich (besser) nicht auf ;).

]]> By: wackenleser http://burnachurch.com/87/sql-injection-kurz-erklaert/#comment-1922 wackenleser Sun, 17 Jan 2010 19:19:48 +0000 http://burnachurch.com/?p=87#comment-1922 wacken.com hat sich, wahrscheinlich aus dem grund, auch etwas verändert http://img27.imageshack.us/i/wackentinypic.jpg/ wacken.com hat sich, wahrscheinlich aus dem grund, auch etwas verändert http://img27.imageshack.us/i/wackentinypic.jpg/

]]>