Auf jeden Fall ist die SQL-Injection die ernstesteSicherheitsproblem für Webanwendungen, aber ich denke, viele Blogs und Tutorials sind irreführend, indem sie die unrealistischen Beispiele übertreiben (oder vielleicht bin ich falsch)
; DELETE FROM ...
Dies ist lediglich eine Theorie, die auf den Grundlagen von SQL basiert. Wenn in der realen Welt verwenden PHP beispielsweise, mysql_query() oder mysqli->query() führt nur die erste SQL-Abfrage aus. Hinzufügen von etwas nach ; führt zu einem Syntaxfehler.
Ist es möglich, eine WRITE-Aktion durch SQL-Injection an einem SELECT Abfrage in PHP?
AKTUALISIEREN: Ich möchte klarstellen, ob dies möglich isteine zweite Abfrage in PHP. Die Notwendigkeit, SQL-Injection zu verhindern, wird nicht besprochen. Die ultimative Lösung sind offensichtlich vorbereitete Aussagen.
Antworten:
1 für die Antwort № 1Ali, SQL Injection ist nicht nur ein allgemeines Konzeptbeschränkt auf PHP, obwohl es keine strenge Regel ist, dass diese Aktionen ausgeführt werden können, was nicht möglich ist, aber es gibt Hackern einen Hintertüreintrag zu Ihrem Einblick in das db-Schema, der in keiner Weise gefährlich ist, nicht nur Änderungen, sondern auch Jemand kann auf irgendeine Weise die Informationen als gefährlich betrachten.
1 für die Antwort № 2
Mein Punkt ist zu klären, ob es möglich ist, eine zweite Abfrage in PHP durchzuführen.
In einigen Fällen - ja.
Es spielt jedoch keine Rolle, da Injektionen nicht auf das Hinzufügen von zweiten Abfragen beschränkt sind.
Diese letztere Frage widerspricht jedoch dem Fragetitel, der lautet
Ist die SQL-Injektion nicht übertrieben?
und die Antwort ist definitiv NEIN.
weil
Ist es möglich, eine WRITE-Aktion durch SQL-Injection bei einer SELECT-Abfrage in PHP auszuführen?
Ob es möglich ist oder nicht - eine SELECT-Abfrage kann nicht weniger katastrophal sein als INSERT / UPDATE