SQL-Injection (EN)
ConceptAttack vector that enables the insertion of malicious SQL code into database queries
SQL-Injection Attack Vector
sequenceDiagram participant Angreifer participant Webanwendung participant Datenbank Angreifer->>Webanwendung: Login mit Benutzereingabe: username=' OR '1'='1 Webanwendung->>Datenbank: SELECT * FROM users WHERE username='' OR '1'='1' AND password=' Datenbank->>Webanwendung: Gibt alle Benutzer zurück Webanwendung->>Angreifer: Ermöglicht Zugriff mit Administratorrechten
Prevention
flowchart LR A[Benutzereingabe] --> B{Validierung} B -->|Valid| C[Parametrisierte Abfrage] B -->|Invalid| D[Abbruch] C --> E[Vorbereitete Anweisung] E --> F[Datenbank] F --> G[Sichere Ausführung] In Context
- Typically used together with OWASP Top 10 and Input Validation
- Related to: Cross-Site Scripting (XSS), Command Injection, Path Traversal
- Example use cases: Login forms, search functions, URL parameters