Auf Thema antworten 2026

JavaScript ist deaktiviert. Für eine bessere Darstellung aktiviere bitte JavaScript in deinem Browser, bevor du fortfährst.

Beitrag: <blockquote data-quote="Duddle" data-source="post: 2369965" data-attributes="member: 17775">Wenn du einer Datenbank sagst "gib mir Wert foo aus Tabelle $variable" und $variable ist "bar", dann sagst du der Datenbank "gib mir Wert foo aus Tabelle bar".Wenn ein Angreifer $variable auf "bar und gib mir Wert x aus Tabelle y" setzt, dann sagt das der Datenbank "gib mir Wert foo aus Tabelle bar und gib mir Wert x aus Tabelle y". Mehr ist eine SQL-Injection ja nicht.Ein Prepared Statement macht folgendes: du sagst der Datenbank "gib mir Wert foo aus Tabelle $variable". Diese bereitet sich darauf vor, den Wert foo aus der Tabelle zu holen, die du später in $variable einträgst. Der Abfrageweg ist also komplett vorbestimmt und kann nicht mehr verlassen werden.Wenn ein Angreifer nun $variable auf "bar und gib mir Wert x aus Tabelle y" setzt, dann versucht die Datenbank, aus Tabelle "bar und gib mir Wert x aus Tabelle y" den Wert foo zu lesen. Da der Abfrageweg nicht mehr verändert werden kann, versucht die Datenbank auch nicht den zusätzlichen Befehl auszuführen.Wenn du nun den Wert "bar und gib mir Wert x aus Tabelle y" in $andereVariable abspeicherst und später die Datenbank ohne Prepared Statement fragst "gib mir Wert foo aus Tabelle $andereVariable", dann versteht sie wieder "gib mir Wert foo aus Tabelle bar und gib mir Wert x aus Tabelle y".Vertraue niemals Nutzereingaben, selbst wenn du diese kurzzeitig zwischenspeicherst.Duddle</blockquote> Bilder bitte hier hochladen und danach über das Bild-Icon (Direktlink vorher kopieren) platzieren.

Authentifizierung: Wenn ▲ = 7, ▼ = 3, ◇ = 2 und die Summe von ▲ und ▼ durch ◇ geteilt wird, was ist das Ergebnis?