Adult Webmaster Blog

Ich habe gerade eben einen alarmierenden Artikel zum Thema SQL-Injections gefunden. SecureWorks, ein Managed IT Security Provider, teilte in einer Pressemitteilung mit, dass die Firma einen dramatischen Anstieg an Hackingversuchen via SQL-Injection bei ihren Kunden zu verzeichnen hat. Im Zeitraum von Januar bis März hat SecureWorks nach eigenen Angaben 100 bis 200 Versuche am Tag geblockt, seit April sei die Zahl auf 1.000 bis 8.000 pro Tag gestiegen. Die Hacks richten sich vorwiegend gegen Kreditkartenunternehmen, Banken, Kundendatenbanken und andere Web-Applikationen. Erst vor kurzem wurde die Firma CardSystems von einer SQL-Injection Attacke getroffen und 263.000 Kreditkartennummern von Kunden gestohlen (darunter war derzeit auch meine Mastercard, die daraufhin von der Bank automatisch gesperrt wurde. Es handelte sich um Kunden von dem Pleitier Ibill). Im vergangenen Dezember wurde auch die Website der Rhode Island Verwaltung von einer SQL-Injection getroffen. Dort wurden 53.000 Kreditkartennummern von Kunden gestohlen, die bei der Stadtverwaltung damit bezahlt hatten. Dabei lassen sich SQL-Injections eigentlich sehr leicht vermeiden, würden alle “Programmierer” mal mehr Fokus auf den User-Input legen. Wie SecureWorks richtig anmerkt, sollte man nie nie nie der Eingabe eines Users vertrauen und sämtliche Textboxen und andere Inputs mit Regular Expressions und anderen Prüfschleifen validieren. Die Funktionen mysql_real_escape_string() und addslashes() sollten in diesem Zusammenhang ausführlich studiert werden. Dieser Wikipedia-Artikel gibt auch einige hilfreiche Informationen, wie man eine SQL-Injection verhindern kann.