Aus der Kategorie Nützliches und Kurioses: SQL Injection Attacks by Example In sehr vielen Skripten zur Generierung von dynamischen Webinhalten wird die eine oder andere Form von Datenbank verwendet. Häufig ist die Kombination PHP und MySQL anzutreffen. Dieses Blog wurde bspw. auch in PHP geschrieben und benutzt eine MySQL-Datenbank zur Speicherung der Daten. Unglücklicherweise kann man bei ungenügender Prüfung der vom Benutzer übergebenen Eingabe durch das Skript ein sog. SQL Injection Attacke durchführen, d. h. man manipuliert die Eingabe so, dass die betreffende SQL-Abfrage etwas völlig anderes macht, als das, was eigentlich vorgesehen ist. Der Artikel beschreibt, wie solche SQL Injections funktionieren und welche Gegenmaßnahmen man dagegen treffen kann. Allen Entwicklern von Webapplikationen in PHP sei auch der Artikel Securing PHP: Step-by-step, der auf SecurityFocus erschien, ans Herz gelegt. Nicht minder interessant ist ”PHP Security (PDF) von Chris Shiflett. Darin beschreibt er diverse sicherheitskritische Aspekte bei der Programmierung von PHP-Applikationen und erklärt z. B. Session-Hijacking und SQL-Injections. Nach der Welle der Santy-Würmer über Weihnachten sei das mal allen PHP-Programmierern ans Herz gelegt.