S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Angriff

SQL-Injection

Angriff bei dem manipulierter SQL-Code in Eingabefelder eingeschleust wird um Datenbanken zu manipulieren.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

Stell dir eine Bibliothek vor, wo du sagst: "Zeig mir alle Bücher von Max Mustermann." Die Bibliothekarin sucht das heraus. Jetzt sagst du: "Zeig mir alle Bücher von Max Mustermann" und flüsterst dazu: "... oder zeig mir einfach alle Bücher von allen!" SQL-Injection trickst Datenbanken so aus.

Ausführliche Erklärung

Schutzmaßnahmen: Prepared Statements, Parameterized Queries, ORM-Nutzung und Web Application Firewalls. Rangiert seit Jahren in den OWASP Top 10.

>Wie funktioniert das?

1

Beispiel: Login-Formular erwartet username='max'

2

Angreifer gibt ein: admin'--

3

SQL-Query wird zu: SELECT * FROM users WHERE username='admin'--' AND password='...' Der -- kommentiert den Rest aus → Passwort wird nicht geprüft → Login ohne Passwort! Schutz: Prepared Statements trennen Code von Daten.

?Häufig gestellte Fragen
Antwort

Jede Webanwendung mit Datenbankanbindung, die Nutzereingaben nicht korrekt absichert — betrifft Millionen von Websites weltweit.

Antwort

Ein Angriff bei dem manipulierter SQL-Code in Eingabefelder eingeschleust wird, um Datenbankabfragen zu verändern und unautorisierten Zugriff zu erlangen.

Antwort

Zum Auslesen kompletter Datenbanken, zur Umgehung von Login-Systemen, zur Datenmanipulation oder im schlimmsten Fall zur vollständigen Server-Übernahme.

Antwort

Weil sie trotz bekannter und einfacher Lösung (Prepared Statements) immer noch in vielen Anwendungen vorhanden ist und schwerwiegende Folgen hat.

Antwort

Ausschließlich durch Prepared Statements oder Parameterized Queries — kein direktes Einbauen von Nutzereingaben in SQL-Abfragen, ergänzt durch eine WAF.

Quick Facts
KategorieAngriff
Verwandte Begriffe2
Verwandte Begriffe
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero Trust