Kann man mit der Where-Klausel SQL-Injections ausführen?

... und falls es möglich ist, könnte mir noch jemand Beispiele geben, mit welcher Eingabe?

Das Statement sieht in etwa so aus:

SELECT foo
FROM bar
WHERE 1 = 1 AND ...

die Punkte sind der Teil, der generiert wird und zum Teil der Benutzer selbst eingeben kann (um genauere Selektionen zu ermöglichen).

Bei der Ausführung wird nur das erste Statement ausgeführt also wenn man so etwas wie "; DELETE FROM bar;" eingeben würde, würde trotzdem nur das select ausgeführt werden, und das Löschstatement einfach ignoriert werden.

Meiner Ansicht nach müsste es so unmöglich sein, ernsthaft Schaden anzurichten. Oder gibt es noch eine andere Möglichkeit, wie Änderungen vorgenommen werden könnten (mit subqueries kenne ich mich jetzt nicht wirklich aus aber ich denke da kann man kein drop/delete/truncate oder so etwas aufrufen, weil das doch keinen Sinn machen würde)?

2 Antworten

Waldi2007

16.12.2024, 13:55

Doch, das geht! Nehmen wir doch mal Dein Beispiel: "; DELETE FROM bar;". Durch das erste ";" wird das vorausgehende SELECT-Statement abgeschlossen und es beginnt ein neues Statement. Hat nun der User, unter welchem das eigentliche Statement ausgeführt werden soll, die passenden Berechtigungen, so wird der (nun neue) Befehl "DELETE FROM bar;" ausgeführt und die Tabelle "bar" leergeräumt.

Dem kann man aber entgegenwirken, indem man Usereingaben (oder generell Zeichenketten) nicht als Literale, sondern als Parameter angibt. Dadurch werden SQL Injections stark erschwert bzw. sogar komplett vermieden!

Und ja: ich benutze in meiner Software und in meinen Skripten diese Technik mit den Parametern!

Woher ich das weiß:Berufserfahrung – Software-Entwickler und PC-Techniker

guterfrager5

Beitragsersteller

16.12.2024, 13:58

Es wird nur das erste angegebene Statement ausgeführt (habe ich eigentlich auch geschrieben 😅) und ich benutze auch Parameter wo es geht. Nur geht das an der Stelle gerade nicht bzw. würde einen so wesentlichen Mehraufwand bedeuten, dass ich es gerne vermeiden würde.

DBMS ist DB2 falls das wichtig sein sollte.

Waldi2007

16.12.2024, 14:03

@guterfrager5

Wenn nur das erste Statement ausgeführt wird, dann hat der User, unter welchem die DB-Verbindung läuft, vielleicht keine Berechtigung zu Löschen von Zeilen aus dieser Tabelle. Aber ich weiß auch nicht, unter welchem DBMS die SQL-Statements laufen sollen: Ist es Oracle, MSSQL, MySQL, MariaDB, PostgreSQL oder eine andere relationale Datenbank?

Edit: Ich habe eben erst gelesen, daß Du DB2 als DBMS hast. Mit den Feinheiten dieses DBMS von IBM bin ich leider nicht ganz so vertraut.

Gemnerell aber würde ich plädieren, auf Nummer Sicher zu gehen. Betreibe also lieber diesen Mehraufwand! Ich habe mir für meine Proggies (in C# und PHP) Wrapper geschrieben, welche das Parameter-Handling deutlich vereinfachen. So halte ich den Mehraufwand in Grenzen.

guterfrager5

Beitragsersteller

16.12.2024, 14:14

@Waldi2007

Berechtigung zum löschen hat er ja hoffentlich schon ... es wird nämlich eine Erweiterung zum (kontrollierten) löschen und das ist die Selektion, was gelöscht werden soll (um es dann auch zu loggen). Er sollte nur nichts selbstständig löschen können.

Dann probiere ich noch ein bischen weiter und hoffe mal, dass ich es noch in einer Woche hinbekomme (dann ist ja schon wieder Weihnachten ... nicht vergessen!).

Danke auf jeden Fall (:

slaxxer

17.12.2024, 16:59

@Waldi2007

es ist eigentlich mehr ein problem der validierung des inputs als des sql statements

hanzzdieter

17.03.2025, 09:14

Wenn man "..." durch Folgendes ersetzt:

1=1 INTO OUTFILE '/var/www/html/lasertag.txt'

kann man je nach Berechtigungen und Verzeichnisstruktur die kompletten Daten aus der Datenbank speichern und auslesen.

Ich hoffe, ich konnte dir helfen. Beste Grüße

Hans Dieter

Ähnliche Beiträge

PHP-Funktion auslösen bevor man die Seite verlässt?

Ich probiere grade aus, meine eigenen „Google Analystics“ zu machen, da das Originale zu teuer ist. Egal, kommen wir zurück zum Thema. Wie füge ich Daten zu einer MySQL-Datenbank hinzu, genau dann, wenn der User die Seite verlässt. Ich habe es bereits mit diesem JavaScript versucht:

How do i run PHP-Functions before the page unloads bwz. close? I tried `beforunload` but it never really worked. I want to insert a record for analystics into php database. Here is the JavaScript:


```
const beforeUnloadListener = (event) => {
   document.write(' <?php 
		$sql2 = "DELETE FROM `SwiftSpion` WHERE ip = `$ip`";
$result2 = $conn->query($sql2);
	?> ');
}

window.addEventListener("beforeunload", beforeUnloadListener);

	const pageHideListener = (event) => {
    document.write(' <?php 
		$sql2 = "DELETE FROM `SwiftSpion` WHERE ip = `$ip`";
$result2 = $conn->query($sql2);
	?> ');
}
document.onvisibilitychange = function() {
  if (document.visibilityState === 'hidden') {
		document.write(' <?php 
		$sql2 = "DELETE FROM `SwiftSpion` WHERE ip = `$ip`";
$result2 = $conn->query($sql2);
	?> ');
  }
};

window.addEventListener("pagehide", pageHideListener);
```



I expect, that the MySQL-Command works when the user leaves the site.

...zum Beitrag

SQL Statement um die leeren Felder durch eine 0 zu ersetzen

Hallo Leute,

ich suche ein SQL Statement mit dem ich ein Select auf eine Tabelle mache und leere Felder durch eine 0 ersetze. Das Statement wird später über eine Shell ausgführt.

Beispiel:

Tabelle Musikstuecke

Nun möchte ich mein bisheriges Statement erweitern, dass die leeren Felder mit einer 0 ausgelesen werden:

Select Titel from Musikstuecke Where ...

Ich hoffe mir kann jemand helfen...

...zum Beitrag

sqlite3.ProgrammingError: Incorrect number of bindings supplied. The current statement uses 1, and there are 7 supplied.?

Hallo,

ich bekomme ständig die Fehlermeldung:

sqlite3.ProgrammingError: Incorrect number of bindings supplied. The current statement uses 1, and there are 7 supplied.

So ungefähr ist mein Code:

cursor.execute("SELECT name FROM users WHERE nachname = ?", (nachname[0]))

nachname wurde aus der Datenbank gefetcht.

Wie kann ich diese beheben?

Liebe Grüße

...zum Beitrag

Kaskadiertes löschen in MySQL?

Hallo zusammen,

ich habe 2 Tabellen: Person, Student.

Die Tabelle Student besitzt einen Fremdschlüssel auf die Personen Tabelle. Nun möchte ich eine Person löschen und der Student soll dabei ebenso kaskadiert gelöscht werden.

Ich habe es mit "on delete cascade from person where id=1; versucht, jedoch funktioniert es nicht, kann jemand helfen?

...zum Beitrag

Python / PyODBC: Statement in Values von INSERT-Statement?

qry = 'Insert into myTable (ID, binary) Values (?, ?)'
values = ('IDIDID', (Select From OPENROWSET(BULK 'PATH.pdf', SINGLE_BLOB) as Document))
connection.cursor().execute(qry, values)
connection.commit()

Aber diese Subquery ist nicht möglich. Eine separate Selektion ist auch nicht möglich, da er dann den Wert nicht als Variable annimmt.

Gibt es einen Trick für Subqueries in den Values bei PYODBC?

...zum Beitrag

MySQL: UNION ignoriert ORDER BY - Was kann ich tun?

Hallo, ich habe ein Problem mit meinem MySQL Select Statement.

Folgendes Szenario: Ich möchte alle location_tasks auflisten, dabei sollen die Tasks, bei denen die job_id = 4 ist als erstes aufgelistet werden. Danach sollen alle anderen Tasks folgen, bei denen die job_id != 4 ist. Diese sollen aber nach dem job_level sortiert werden.

SELECT *
FROM location_task, job
WHERE location_task_location_id = 0
AND location_task_job = job_id
UNION
(SELECT *
FROM location_task, job
WHERE location_task_location_id = 0
AND location_task_job = job_id
AND job_id != 4
ORDER BY job_level)

Das Problem: Die beiden Selects funktionieren alleine wunderbar, doch durch das UNION wird der ORDER BY-Teil ignoriert. Wenn ich die Klammern weg lasse, werden alle Tasks nach dem job_level sortiert, sodass diejenigen mit der job_id = 4 nicht als erstes angezeigt werden.

Kann hier jemand weiterhelfen?

...zum Beitrag

Zeilen löschen und neue Spaltennamen setzten // Sqlite3 / Python?

Ich möchte aus einer Database mit Sqlite 3 die ersten 12 Zeilen rauslöschen. Ich würde das so machen:

cursor.execute("DELETE FROM Ausgangsliste WHERE rowid <= 11")

Wie sorge ich jetzt aber dafür , dass der Inhalt der neuen ersten Zeile zu den Spaltennamen für die jeweilige Spalte wird?

...zum Beitrag

SQL gleiche Attribute löschen?

Hey, wenn ich den SQL Befehl

SELECT * FROM verkauf,kunde,produkt WHERE verkauf.kundenID = kunde.kundenID AND verkauf.produktID = produkt.produktID

Eingebe bekomme ich folgendes Ergebnis bei meiner Datenbank:

Dort ist nun aber beispielsweise das Attribut "kundenID" zweimal drinnen, da es einmal in der Relation Kunde und einmal in der Relation verkauf drinnen ist. Kann ich meine Anfrage irgendwie so abändern, dass eins von diesen Attributen automatisch gelöscht wird?

...zum Beitrag

SQL-Abfrage: COUNT als bloßen Integer bekommen?

Schönen guten Abend!

Ich habe mir für das Zählen von Einträgen einer Tabelle in einer Datenbank folgende SQL Abfrage gebaut:

$stmt = $database->prepare("SELECT COUNT(*) FROM table WHERE column = :foo");
$stmt->execute(['foo' => $foo]);
$count = $stmt->fetch();

Es klappt auch alles soweit, nur bekomme ich ein Array zurück (indem sich dann auch die richtige Anzahl als Wert befindet)

Nun möchte ich aber kein Array, sondern einfach die Anzahl beispielsweise als bloßen Integer zurückbekommen.

Wer kann mir da weiterhelfen?

Danke im Voraus!

...zum Beitrag

PHP Fehler?

Moinsen Leude,

Ich bin gerade etwas am verzweifeln. Ich arbeite noch nicht so lange mit php und stoße die ganze zeit immer wieder auf den gleichen fehler:

Warning: Undefined array key "password" in C:\xampp\htdocs\website\metropolisx\index.php on line 21

Hier die PHP-Datei um die es geht:

<?php
session_start();
require_once "includes/config.php"; // Datenbankverbindung

$error = "";

// Nur fortfahren, wenn das Formular per POST abgesendet wurde
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    // Überprüfen, ob die Felder 'username' und 'password' in $_POST gesetzt sind
    $username = isset($_POST['username']) ? $_POST['username'] : '';
    $password = isset($_POST['password']) ? $_POST['password'] : '';

    // Überprüfen, ob beide Felder nicht leer sind
    if (!empty($username) && !empty($password)) {
        // Datenbankabfrage, um den Benutzer zu finden
        $stmt = $pdo->prepare("SELECT * FROM accounts WHERE USERNAME = ?");
        $stmt->execute([$username]);
        $user = $stmt->fetch();

        // Wenn der Benutzer existiert und das Passwort korrekt ist
        if ($user && password_verify($password, $user['password'])) {
            $_SESSION['user'] = $user['username'];
            // Weiterleitung zum Dashboard
            header("Location: pages/dashboard.php");
            exit();
        } else {
            $error = "Falsche Anmeldedaten!";
        }
    } else {
        // Fehlermeldung, wenn eines der Felder leer ist
        $error = "Bitte Benutzername und Passwort eingeben!";
    }
}
?>

<!DOCTYPE html>
<html lang="de">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Login | MetropolisX</title>
    <link rel="stylesheet" href="css/style.css">
</head>
<body>

<div class="login-container">
    <h2>MetropolisX - Login</h2>

    <?php if ($error): ?>
        <p class="error"><?php echo htmlspecialchars($error); ?></p>
    <?php endif; ?>

    <form method="post">
        <input type="text" name="username" placeholder="Benutzername" required>
        <input type="password" name="password" placeholder="Passwort" required>
        <button type="submit">Anmelden</button>
    </form>
</div>

</body>
</html>

Wenn einer von euch weiß warum ich diesen fehler die ganze zeit kriege, gebt gerne bescheid. Danke schonmal im vorraus :D

...zum Beitrag

Delete/Insert/Update/Search, altmodisch gelöst? Verbesserungsvorschläge?

Mehrere Formularfunktionen in PHP:

Delete:

  if ($_SERVER["REQUEST_METHOD"] == "POST" && isset($_POST["kunden_id"])) {
    $kunden_id = $_POST["kunden_id"];
    $sql = "DELETE FROM kunden WHERE kunden_id=$kunden_id";

    if ($conn->query($sql) === TRUE) {
      echo "Record deleted successfully";
    }
    else {
      echo "Error deleting record: " . $conn->error;
    }
  }

  $conn->close();
?>

Insert:

  if ($_SERVER["REQUEST_METHOD"] == "POST") {
    $vname = $conn->real_escape_string($_POST['vname']);
    $nname = $conn->real_escape_string($_POST['nname']);
    $age = $conn->real_escape_string($_POST['age']);
    $sql = "INSERT INTO kunden (vname, nname, age) VALUES ('$vname', '$nname', '$age')";

    if ($conn->query($sql) === TRUE) {
      echo "Neuer Kunde erfolgreich hinzugefügt";
    }
    else {
      echo "Fehler: " . $sql . "<br>" . $conn->error;
    }
  }

  $conn->close();
?>

Update:

  if ($_SERVER["REQUEST_METHOD"] == "POST" && isset($_POST["kunden_id"]) && isset($_POST["vname"]) && isset($_POST["nname"]) && isset($_POST["age"])) {
    // Kunden-ID und neue Daten aus dem Formular abrufen
    $kunden_id = $_POST["kunden_id"];
    $vname = $_POST["vname"];
    $nname = $_POST["nname"];
    $age = $_POST["age"];

    // SQL-Update-Statement vorbereiten
    $sql = "UPDATE kunden SET vname='$vname', nname='$nname', age='$age' WHERE kunden_id=$kunden_id";

    if ($conn->query($sql) === TRUE) {
      echo "Record updated successfully";
    }
    else {
      echo "Error updating record: " . $conn->error;
    }
  }

  $conn->close();
?>

Search:

  if (isset($_POST['search'])) {
    $search = $_POST['search'];
    $sql = "SELECT kunden_id, vname, nname, age FROM kunden WHERE nname LIKE '%$search%' ORDER BY kunden_id";
  }
  else {
    $sql = "SELECT kunden_id, vname, nname, age FROM kunden ORDER BY kunden_id";
  }

  $result = $conn->query($sql);

  if ($result->num_rows > 0) {
    echo "<table border='1'>
      <tr>
        <th>Kunden ID</th>
        <th>Vorname</th>
        <th>Nachname</th>
        <th>Alter</th>
      </tr>";

    while ($row = $result->fetch_assoc()) {
      echo "<tr>
        <td>" . $row["kunden_id"]. "</td>
        <td>" . $row["vname"]. " </td>
        <td>" . $row["nname"]. "</td>
        <td>" . $row["age"]. "</td>
      </tr>";
    }

    echo "</table>";
  }
  else {
    echo "0 Ergebnisse";
  }

  $conn->close();
?>
<form method="post">
  <input type="text" name="search" placeholder="Nachname eingeben...">
  <button type="submit">Suchen</button>
</form>

...zum Beitrag

Programm auslesen eines Arduinos?

hey, ich versuche gerade (immer noch) Daten von meinem Arduino zu einer Datenbank in mysql zu senden. Jedoch kommt nichts an und beim Arduino blinkt die ganze Zeit TX (was doch fürs Daten senden steht, oder?).

Hier das Programm von VSC:

var mysql = require('mysql');


var SerialPort = require("serialport");


var column_name = 'Wert'
var table_name = 'Wertetabelle'


const parsers = SerialPort.parsers;
const parser = new parsers.Readline({
    delimiter: '\r\n'
});


var port = new SerialPort('COM4', {
    baudRate: 9600,
    dataBits: 8,
    parity: 'none',
    stopBits: 1,
    flowControl: false
});


port.pipe(parser);


//Determine the connection to MySQL
var con = mysql.createConnection({
  host: "localhost",
  user: "root",
  password: "",
  database: "werte_datenbank"
});


//Connect with Database
con.connect(function(err) {
    // Build the connection
    if (err) throw err;
    console.log("Connected!");
});


parser.on('data', function(data){
    console.log(data);


    // Deklariert was genau wo gespeichert werden soll
    var sql = "INSERT INTO `werte_tabelle` (`Wert`) VALUES ('" + data + "');"


    // Speichert bei Änderungen die neuen Daten in der Datenbank
    con.query(sql, function (err, result) {
      if (err) throw err;
      console.log("1 record inserted");
    });
});


//DELETE FROM `werte_tabelle` WHERE 1
var sql = "DELETE FROM `werte_tabelle` WHERE 1"
// Löscht die Datenbank
con.query(sql, function (err, result) {
    if (err) throw err;
    console.log("Every Entry deleted");

});

Hier das Programm vom Arduino Editor:

int pinPx = 3;
int x = 1;
const long intervall = 20000;
bool zeitspanne = true;
float zeit_now = millis();


void setup() {
  Serial.begin(9600);
  pinMode(pinPx, INPUT);


}


void loop() {
  zeit_now = millis();


  while (zeitspanne == true) {
    if (digitalRead(pinPx) == true) {
      Serial.write(x);
    }
    if (millis() > (zeit_now + intervall)) {
      zeitspanne = false;


    }
  }


  pinPx = pinPx + 1;
  x = x + 1;
  zeitspanne = true;
}

Vielen Dank!!

...zum Beitrag

Fehler bei password verify php?

Ich habe ein Testprogramm geschrieben, in dem man ein Passwort eingibt, dass dann gehasht in einer Datenbank gespeichert wird. Wenn ich mit dem Passwort vergleiche kommt aber nicht true sondern false raus. Das ganze habe ich in WebFTP gemacht.

Als Ausgabe bekomme ich:

123456789 $2y$10$4TMgUO3xGJMCy5iZnd6Be.TBRkIO2Z55GGwgQ5oeToD.ryJZAvvte Richtig In Datenbank übertragen $2y$10$4TMgUO3xGJMCy5iZnd6Be.TBRkIO2Z55GGwgQ5oeToD.ryJZAvvte Falsch Richtig übertragen

Bedeutet das gehashte Passwort wurde richtig gespeichert, aber passwort verify hat beim zweiten mal false zurück gegeben.

Hier ist der php Teil dazu:

<?php
if (isset($_POST["start"])) {
    $password = $_POST["password"];
    $email = $_POST["email"];
    echo $password . " ";
    $passwordHash = password_hash($password, PASSWORD_DEFAULT);
    echo $passwordHash . " ";
    if (password_verify($password, $passwordHash)){
        echo "Richtig ";
    }else{
        echo "Falsch ";
    }
    require_once "data.php"; //Hier wird die Datenbankverbindung gespeichert
    $statement = $pdo->prepare("INSERT INTO tab (email, password) VALUES (?, ?)");
    $statement->execute(array($email, $passwordHash));
    if ($statement){
        echo "In Datenbank übertragen ";
        $sql = "SELECT * FROM tab WHERE email='$email'";
        $user = $pdo->query($sql)->fetch();
        $passwordTest = $user["password"];
        echo $passwordTest . " ";
        if (password_verify($password, $passwordTest)){
            echo "Richtig ";
        }else{
            echo "Falsch ";
            if ($passwordHash == $passwordTest){
                echo "Richtig übertragen ";
            }else{
                echo "Falsch übertragen ";
            }
        }
        die();
    }else{
        die("Es ist etwas schief gelaufen");
    }
}
?>

...zum Beitrag

Warum funktioniert die SQL-Abfrage nicht?

Hallo, kann mir jemand helfen?

Grundidee:

Alle Spalten (ohne die Spalten direkt anzugeben) in einer Tabelle nach einem Wort suchen lassen. Lass das Suchwort hexadezimal sein für eine Eindeutigkeit. Ich führe die Abfrage im SQLer Mkll Version 2.5.6 und in Arc32 aus.

Meine Abfrage lautet schon wie folgt:

DECLARE @SearchWord NVARCHAR(55) = '0x4f';
SELECT
  t.name AS Tabellenname,
  c.name AS Spaltenname
FROM
  sys.tables t
JOIN
  sys.columns c ON t.object_id = c.object_id
WHERE
  t.name = 'kundenadresse'
AND EXISTS (
  SELECT 1
  FROM
    kundenadresse
  WHERE CAST(c.name AS NVARCHAR(MAX)) LIKE '%' + @SearchWord + '%'
);

Nun kommt der Fehler:

poQuery: Error 7200: AQE Error: State = 42000; NativeError = 2115; [SAP][Advantage SQL Engine]Expected lexical element not found: expecting <;> or <,> but found <=> -- Location of error in the SQL statement is: 34

Es scheint als würde er das = nicht verstehen.

Hat jemand eine andere Lösung oder Fehler in der Abfrage gefunden?

Vielen Dank schon einmal im Voraus!

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen