{"id":505,"date":"2022-08-06T22:53:54","date_gmt":"2022-08-06T22:53:54","guid":{"rendered":"https:\/\/securitybriefing.net\/?p=505"},"modified":"2022-08-06T22:53:54","modified_gmt":"2022-08-06T22:53:54","slug":"sql-injection-101-was-ist-sqli-und-wie-man-angriffe-verhindert","status":"publish","type":"post","link":"https:\/\/securitybriefing.net\/de\/sicherheit\/sql-injection-101-was-ist-sqli-und-wie-man-angriffe-verhindert\/","title":{"rendered":"SQL Injection 101: Was ist SQLi und wie verhindert man Angriffe?"},"content":{"rendered":"

Was ist SQL-Injektion?<\/strong><\/h2>\n\n\n

SQL-Injection (SQLi) ist eine Angriffsart, die es Kriminellen erm\u00f6glicht, b\u00f6sartige SQL-Anweisungen in anf\u00e4lligen Webanwendungen auszuf\u00fchren. Angreifer k\u00f6nnen auf sensible Daten wie Kundeninformationen, pers\u00f6nliche Daten, Gesch\u00e4ftsgeheimnisse und mehr zugreifen, indem sie die Sicherheitsma\u00dfnahmen von Anwendungen umgehen. Im Folgenden werden wir SQL-Injektion er\u00f6rtern, wie sie funktioniert und wie Sie Angriffe verhindern k\u00f6nnen.<\/p>\n\n\n\n

SQL-Injection-Angriffe k\u00f6nnen auf jeder Website vorkommen, die eine SQL-Datenbank verwendet. Diese Art von Angriff erm\u00f6glicht es Angreifern, Zugang zu Ihren wichtigen Daten zu erhalten. Sie k\u00f6nnen Verbraucherinformationen, pers\u00f6nliche Daten, Gesch\u00e4ftsgeheimnisse und geistiges Eigentum einsehen. Laut OWASP handelt es sich dabei um eine der schwersten Arten von Angriffen auf Webanwendungen.<\/p>\n\n\n

Arten der SQL-Injektion<\/strong><\/h2>\n\n\n
\"Arten<\/figure>\n\n\n

In-band-SQLi<\/strong><\/h3>\n\n\n

In-Band-SQL-Injection ist ein Angriff, bei dem der Angreifer denselben Kanal zum Senden und Empfangen von Abfragen verwendet. In-band bedeutet, dass die Antwort \u00fcber dasselbe Kommunikationsmedium eingeholt wird. Das Ziel des Angreifers ist es, die Antwort sofort in einem Webbrowser zu erhalten, wenn dies bei der manuellen Durchf\u00fchrung des Angriffs mit einem Webbrowser m\u00f6glich ist.<\/p>\n\n\n\n

Beispiel einer In-Band-SQL-Injektion<\/strong><\/p>\n\n\n\n

Die h\u00e4ufigste Methode f\u00fcr einen Angreifer, eine In-Band-SQL-Injection durchzuf\u00fchren, besteht darin, die Anfrage so zu \u00e4ndern, dass er die pers\u00f6nlichen Daten des aktuellen Benutzers sehen kann. Dies kann durch \u00c4nderung des Wertes geschehen, der als Teil der Anfrage gesendet wird. Wenn die Anweisung zum Beispiel den Namen des Benutzers anzeigen sollte, k\u00f6nnte der Angreifer sie so \u00e4ndern, dass stattdessen der Name des Benutzers angezeigt wird.<\/p>\n\n\n\n

SELECT * FROM benutzer WHERE benutzer_id LIKE 'aktueller_benutzer'<\/pre>\n\n\n\n
Fehlerbasiertes SQLi und unionsbasiertes SQLi sind die beiden h\u00e4ufigsten Formen von In-Band-SQL-Injection.<\/p>\n\n\n
Fehlerbasiertes SQLi<\/strong><\/h4>\n\n\n
Eine fehlerbasierte SQLi-Technik ist ein In-Band-SQL-Injection-Ansatz, der die Fehlermeldungen des Datenbankservers nutzt, um die Architektur der Datenbank zu ermitteln. Die fehlerbasierte SQL-Injektion ist die h\u00e4ufigste Art der In-Band-SQL-Injektion.<\/p>\n\n\n\n
Beispiel f\u00fcr fehlerbasiertes SQLi:<\/strong><\/p>\n\n\n\n
Wenn ein Angreifer versucht, sich mit den folgenden Anmeldedaten anzumelden:<\/p>\n\n\n\n
Benutzername: ' OR 'a'='aPasswort: beliebig<\/pre>\n\n\n\n
Die Datenbank gibt einen Fehler zur\u00fcck, da die Anweisung syntaktisch falsch ist. Die Fehlermeldung gibt Informationen \u00fcber die Datenbank preis, die der Angreifer zu seinem Vorteil nutzen kann.<\/p>\n\n\n
Unionsbasiertes SQLi:<\/strong><\/h4>\n\n\n
In-Band-SQL-Injektion ist eine M\u00f6glichkeit, Informationen von einer Website zu erhalten, indem der UNION-Operator verwendet wird, um die Ausgaben von zwei oder mehr SELECT-Anweisungen zu kombinieren.<\/p>\n\n\n
Blinde SQL-Injektion<\/strong><\/h3>\n\n\n
Blind SQL Injection ist ein Angriff, bei dem der Angreifer versucht, Antworten von der Datenbank zu erhalten, indem er Fragen stellt, die zu einer richtigen oder falschen Antwort f\u00fchren. Der Angreifer verwendet Fehlermeldungen, um zu sehen, ob die Anwendung anders reagiert, wenn ein bestimmter Code verwendet wird.<\/p>\n\n\n\n
Wenn ein Hacker SQL-Injection verwendet, kann die Webanwendung kritische Datenbankwarnungen anzeigen, die besagen, dass die SQL-Abfragesyntax falsch ist. Die blinde SQL-Injektion funktioniert genauso wie die herk\u00f6mmliche SQL-Injektion, mit dem Unterschied, dass die Daten aus der Datenbank beschafft werden. Wenn eine Datenbank nicht gen\u00fcgend Informationen f\u00fcr einen Angreifer enth\u00e4lt, muss dieser eine Reihe von Fragen stellen, um Daten zu erhalten.<\/p>\n\n\n\n
Die blinde SQL-Injektion wird unterteilt in blind-boolesches SQLi und blind-zeitbasiertes SQLi.<\/p>\n\n\n
Boolesches Blind SQLi<\/strong><\/h4>\n\n\n
Boolesche Blind-SQL-Injektion ist ein Angriff, bei dem der Angreifer versucht, Antworten von der Datenbank zu erhalten, indem er Fragen stellt, die zu einer wahren oder falschen Antwort f\u00fchren. Der Angreifer verwendet Fehlermeldungen, um zu sehen, ob die Anwendung anders reagiert, wenn ein bestimmter Code verwendet wird.<\/p>\n\n\n\n
Beispiel f\u00fcr boolesches Blind SQLi:<\/p>\n\n\n\n
Wenn ein Angreifer den Datenbanktyp herausfinden m\u00f6chte, verwendet er die folgende Anweisung:<\/p>\n\n\n\n
SELECT * FROM benutzer WHERE benutzer_id LIKE 'aktueller_benutzer' und datenbank() like '%type%'<\/pre>\n\n\n\n
Wenn es sich bei der Datenbank um MySQL handelt, w\u00fcrde die Ausgabe etwa so aussehen:<\/p>\n\n\n\n
Sie haben einen Fehler in Ihrer SQL-Syntax. Schauen Sie im Handbuch zu Ihrer MySQL-Server-Version nach, um die richtige Syntax bei 'and database() like '%type%\" in der Zeile<\/p>\n\n\n
Zeitbasierte Blind SQL-Injektion<\/strong><\/h4>\n\n\n
Bei einem zeitbasierten Blindangriff wird ein SQL-Befehl mit Code an den Server gesendet, der die Ausf\u00fchrung von Abfragen verlangsamt.<\/p>\n\n\n\n
Zeitbasierte Blindangriffe erm\u00f6glichen es Angreifern, Daten auf der Grundlage der Zugriffszeit zu extrahieren. Ein solcher Angriff wird als Blind- oder Inferenzinjektionsangriff bezeichnet. Dies ist eine Angriffsart, bei der keine Daten zwischen dem Angreifer und der Datenbank flie\u00dfen, aber da es keine Reaktion gibt, wird sie auch als Blind-Injection-Angriff bezeichnet.<\/p>\n\n\n\n
Die Antwortzeit zeigt an, ob die Antwort richtig oder falsch ist. F\u00e4llt die Antwort negativ aus, stellt der Angreifer eine weitere Anfrage. Diese Angriffstechnik ist langsam, weil der Hacker jedes Zeichen einzeln durchgehen muss, insbesondere bei Angriffen auf gro\u00dfe Datenbanken.<\/p>\n\n\n\n
Beispiel f\u00fcr blindes SQLi<\/strong><\/p>\n\n\n\n
In diesem Beispiel versucht der Angreifer festzustellen, ob der Benutzer mit der id=999 in der Datenbank existiert. Dazu verwendet er die folgende Anweisung:<\/p>\n\n\n\n
IF(SUBSTRING((SELECT passwort FROM benutzer WHERE benutzer_id=999),0, LEN('geheim'))='geheim', SLEEP(30), 'falsch')<\/pre>\n\n\n\n
Wenn der Benutzer mit der ID 999 in der Datenbank existiert und sein Passwort geheim ist, wird die Anwendung 30 Sekunden lang schlafen. Die Anwendung gibt false zur\u00fcck, wenn der Benutzer nicht in der Datenbank vorhanden ist.<\/p>\n\n\n
Out-of-band-SQLi<\/strong><\/h3>\n\n\n
Jemand, der Daten stehlen will, kann SQL-Code auf eine Weise an einen Datenbankserver senden, die nicht Teil der \u00fcblichen Kommunikation zwischen dem Server und anderen Computern ist. Dies kann geschehen, indem Informationen \u00fcber DNS- oder HTTP-Anfragen an den Server gesendet werden.<\/p>\n\n\n\n
Die Antwort der Anwendung wird nicht davon beeinflusst, ob Daten zur\u00fcckgegeben werden oder nicht, ob es ein Problem mit der Datenbank gibt oder nicht oder wie lange die Ausf\u00fchrung der Abfrage dauert. Out-of-band kann in Netzwerkinteraktionen verwendet werden, um Ereignisse nach Belieben auszul\u00f6sen. Abh\u00e4ngig von einer injizierten Bedingung k\u00f6nnen diese bedingt aktiviert werden, um bitweise Erkenntnisse zu gewinnen.<\/p>\n\n\n\n
Daten k\u00f6nnen auch \u00fcber verschiedene Netzwerkprotokolle aus Netzwerkinteraktionen durchsickern. Das Bild zeigt die Anfrage, die von der Webanwendung an die Datenbank der App gesendet wird.<\/p>\n\n\n\n
Beispiel f\u00fcr Out-of-Band-SQLi<\/strong><\/p>\n\n\n\n
In diesem Beispiel versucht der Angreifer festzustellen, ob ein bestimmter Benutzer in der Datenbank existiert. Dazu verwendet er die folgende Anweisung:<\/p>\n\n\n\n
SELECT user_id FROM users WHERE username='$username' AND password='$password' LIMIT 0,0 UNION SELECT NULL,'' INTO OUTFILE '\/var\/opt\/databases\/$filename.php'; --<\/pre>\n\n\n\n
Die Anwendung gibt die Benutzer-ID zur\u00fcck, wenn der Benutzer in der Datenbank existiert. Ist der Benutzer nicht in der Datenbank vorhanden, erstellt die Anwendung eine Datei, die PHP-Code enth\u00e4lt, der zur Ausf\u00fchrung von Systembefehlen verwendet werden kann. Der Angreifer kann diese Datei dann verwenden, um Befehle auf dem Server auszuf\u00fchren.<\/p>\n\n\n
Wie man eine SQL-Injektion verhindert<\/strong><\/h2>\n\n\n
Der beste Schutz gegen SQL-Injection-Angriffe ist die Verwendung von Eingabevalidierung, vorbereiteten Anweisungen und parametrisierten Abfragen. Der Code sollte niemals direkt die Eingaben des Benutzers verwenden. Die Entwickler m\u00fcssen alle Eingaben bereinigen und nicht nur die Eingaben in Web-Formularen wie z. B. Anmeldeformularen. Einfache Anf\u00fchrungszeichen sollten aus allen fragw\u00fcrdigen Code-Komponenten entfernt werden. Es ist auch eine gute Idee, Datenbankprobleme auf Live-Sites zu verbergen, um zu vermeiden, dass sie versehentlich aufgedeckt werden. SQL-Injection kann Informationen \u00fcber ein Datenbanksystem liefern, die Angreifer zu ihrem Vorteil nutzen k\u00f6nnen.<\/p>\n\n\n\n
Wenn Sie ein Problem mit Ihrer Website feststellen, sollten Sie sie sofort offline nehmen und Ihren Hosting-Anbieter kontaktieren. Er kann Ihnen helfen festzustellen, ob Ihre Website kompromittiert wurde und welche Schritte Sie unternehmen m\u00fcssen, um das Problem zu beheben. Stellen Sie in der Zwischenzeit sicher, dass alle Nutzer Ihrer Website \u00fcber das Problem informiert sind und ihre Passw\u00f6rter so schnell wie m\u00f6glich \u00e4ndern.<\/p>\n\n\n
Pr\u00e4ventionstipps zur Vermeidung von SQL-Injections<\/strong><\/h2>\n\n\n
Es gibt einige M\u00f6glichkeiten, um SQL-Injection-Schwachstellen in Ihrer Programmiersprache und Datenbankeinrichtung zu vermeiden. Diese Techniken lassen sich bei den meisten Datenbanken anwenden, z. B. bei XML. Sie k\u00f6nnen diese Techniken nutzen, um Ihre Datenbanken sicherer zu machen.<\/p>\n\n\n
1) Verwendung ordnungsgem\u00e4\u00df konstruierter gespeicherter Prozeduren<\/h3>\n\n\n
Einsteiger sollten zun\u00e4chst lernen, wie man Anweisungen mit Variablen erstellt. Dies ist einfacher als die Erstellung dynamischer Abfragen und auch leichter zu verstehen. Bei parametrisierten Abfragen erstellt der Entwickler den gesamten SQL-Code und liefert die einzelnen Parameter zu einem sp\u00e4teren Zeitpunkt. Diese Methode erm\u00f6glicht es der Datenbank, zwischen Quellcode und Informationen zu unterscheiden.<\/p>\n\n\n\n
Mit Hilfe von vorbereiteten Anweisungen kann sichergestellt werden, dass das Ziel einer Abfrage nicht ge\u00e4ndert wird, auch wenn jemand versucht, SQL-Anweisungen zu geben.<\/p>\n\n\n
2) Eingabe\u00fcberpr\u00fcfung der Zulassen-Liste<\/h3>\n\n\n
SQL-Abfragen verwenden Bindungsvariablen an bestimmten Stellen f\u00fcr Daten. Wenn Sie zum Beispiel Python verwenden, w\u00fcrden Sie die %s<\/strong> Platzhalter. Sie k\u00f6nnen einen regul\u00e4ren Ausdruck verwenden, um die Benutzereingabe anhand der Zul\u00e4ssigkeitsliste f\u00fcr die in jeder Bindungsvariablen zul\u00e4ssigen Zeichen zu \u00fcberpr\u00fcfen.<\/p>\n\n\n\n
Wenn Sie JavaScript verwenden, k\u00f6nnen Sie \\w<\/strong> um alphanumerische Zeichen und Unterstriche abzugleichen.<\/p>\n\n\n\n
Die Zulassen-Liste sollte so spezifisch wie m\u00f6glich sein, um Fehlalarme zu vermeiden.<\/p>\n\n\n\n
Wenn Sie zum Beispiel nach einer US-Telefonnummer suchen, w\u00fcrden Sie den folgenden regul\u00e4ren Ausdruck verwenden:<\/p>\n\n\n\n
\/^\\d{11}$\/<\/pre>\n\n\n\n
Dies w\u00fcrde mit einer 11-stelligen Zeichenfolge \u00fcbereinstimmen, die eine Telefonnummer sein k\u00f6nnte. Wenn jemand versuchen w\u00fcrde, etwas zu \u00fcbermitteln wie 'abcdef<\/strong>', w\u00fcrde es nicht passen, und die Eingabe w\u00e4re ung\u00fcltig.<\/p>\n\n\n\n
So k\u00f6nnen Sie sicher sein, dass Ihre Daten sicher und zuverl\u00e4ssig sind. Wenn Sie Werte aus dem Code anstelle von Benutzerparametern verwenden m\u00fcssen, ist das auch in Ordnung!<\/p>\n\n\n\n
Nehmen wir jedoch an, dass Benutzerparameterwerte auf bestimmte Tabellen- und Spaltennamen abzielen. In diesem Fall sollten die Parameterwerte auf die entsprechenden Tabellen- und Spaltennamen abgebildet werden, um sicherzustellen, dass nicht validierte Benutzereingaben nicht in die Abfrage einflie\u00dfen.<\/p>\n\n\n
3) Whitelists verwenden<\/h3>\n\n\n
Filtern Sie Benutzereingaben nicht auf der Grundlage von schwarzen Listen mit schlechten Zeichen. Viel effektiver ist die Verwendung von Erlaubnislisten mit guten Zeichen, die in bestimmten Feldern erwartet werden. So werden SQL-Injection-Angriffe verhindert, bevor sie beginnen.<\/p>\n\n\n\n
Lassen Sie zum Beispiel nur Ziffern und Bindestriche im Eingabefeld zu, wenn Sie eine Telefonnummer erwarten. Wenn Sie eine E-Mail-Adresse erwarten, lassen Sie nur Zeichen zu, die in einer E-Mail-Adresse g\u00fcltig sind.<\/p>\n\n\n
4) Verwenden Sie die aktuellsten Plattformen<\/h3>\n\n\n
PHP verf\u00fcgt in \u00e4lteren Webentwicklungsplattformen nicht \u00fcber einen SQLi-Schutz. Verwenden Sie die aktuellste verf\u00fcgbare Version der Programmierumgebung, der Sprache und der zugeh\u00f6rigen Technologien. Verwenden Sie in diesem Beispiel anstelle von PHP lieber PDO.<\/p>\n\n\n
5) Scannen Sie Ihre Webanwendung regelm\u00e4\u00dfig<\/h3>\n\n\n
SQL-Injektionen k\u00f6nnen sehr schwer zu erkennen sein. Es ist wichtig, dass Sie Ihre Webanwendung regelm\u00e4\u00dfig auf Schwachstellen \u00fcberpr\u00fcfen.<\/p>\n\n\n
6) Durchsetzung des \"Least Privilege<\/h3>\n\n\n
Das Prinzip der geringsten Privilegien ist ein Sicherheitskonzept, das die Benutzer auf ein Minimum an Zugriffsrechten beschr\u00e4nkt, die sie f\u00fcr ihre Arbeit ben\u00f6tigen. Dazu geh\u00f6rt auch die Begrenzung der Anzahl der Benutzerkonten und der Berechtigungen, die diese Konten haben.<\/p>\n\n\n\n
Least Restriction on Functionality (LRF) ist die Praxis und das Konzept der Beschr\u00e4nkung von Benutzerrechten, Konten und Computerprozessen auf die Ressourcen, die f\u00fcr grundlegende, akzeptable Aufgaben erforderlich sind. Dies tr\u00e4gt dazu bei, minimale Benutzerrechte oder Freigabeniveaus aufrechtzuerhalten, was f\u00fcr die effektive Erledigung von Aufgaben unerl\u00e4sslich ist.<\/p>\n\n\n\n
Least Privilege\" ist ein Sicherheitsprinzip, das vorsieht, dass Anwendungen, Systeme und Ger\u00e4te nur die Berechtigungen haben, die f\u00fcr die Ausf\u00fchrung einer bestimmten Aufgabe erforderlich sind. Auf diese Weise werden die Auswirkungen begrenzt, wenn es jemandem gelingt, eine Sicherheitsl\u00fccke auszunutzen und Schaden anzurichten. Dies steht im Gegensatz dazu, Benutzern mehr Berechtigungen zu geben, als sie ben\u00f6tigen, was das Risiko eines erheblichen Schadens bei einem SQL-Angriff erh\u00f6ht.<\/p>\n\n\n
SQL Injection - H\u00e4ufig gestellte Fragen<\/strong><\/h2>\n\n\n
\u00a0<\/div><\/div>\n\n\n\n
\n
Was ist die h\u00e4ufigste SQL-Injection?<\/strong>\n
In-Band-SQL-Injection ist die h\u00e4ufigste Art von SQL-Injection-Angriffen. Sie tritt auf, wenn ein Angreifer denselben Kommunikationskanal nutzen kann, um die Nutzdaten zu \u00fcbermitteln und Ergebnisse zu sammeln.<\/p>\n<\/div>\n
Was ist die beste Verteidigung gegen SQL-Injection?<\/strong>\n
Der beste Schutz gegen SQL-Injection ist die Verwendung parametrisierter Abfragen. Bei dieser Art von Abfrage werden Platzhalterwerte f\u00fcr Parameter verwendet, die erst zu einem sp\u00e4teren Zeitpunkt angegeben werden. Diese Methode erm\u00f6glicht es der Datenbank, zwischen Quellcode und Informationen zu unterscheiden.<\/p>\n<\/div>\n
Wie wird SQL-Injection erkannt?<\/strong>\n
SQL-Injection kann auf verschiedene Weise erkannt werden. Eine Methode ist die Verwendung einer Web Application Firewall (WAF). Eine WAF ist ein St\u00fcck Hardware oder Software, das zwischen einer Webanwendung und dem Internet sitzt. Sie pr\u00fcft den Datenverkehr auf b\u00f6sartige Aktivit\u00e4ten und kann SQL-Injection-Angriffe blockieren.<\/p>\n<\/div>\n
Was ist eine SQL-Injektion zweiter Ordnung?<\/strong>\n
Eine SQL-Injektion zweiter Ordnung liegt vor, wenn ein Angreifer eine Nutzlast einschleusen kann, die von der Webanwendung gespeichert und sp\u00e4ter ausgef\u00fchrt wird. Diese Art von Angriff ist schwieriger zu bewerkstelligen, da der Angreifer eine M\u00f6glichkeit haben muss, die Ausf\u00fchrung der gespeicherten Nutzdaten auszul\u00f6sen.<\/p>\n<\/div>\n
Was ist eine blinde SQL-Injektion?<\/strong>\n
Blind SQL Injection ist ein Angriff, bei dem der Angreifer die Ergebnisse seiner Nutzlast nicht direkt sieht. Stattdessen m\u00fcssen sie wahre oder falsche Anweisungen verwenden, um Informationen aus der Datenbank abzuleiten. Diese Art von Angriff ist schwieriger auszuf\u00fchren, kann aber genauso gef\u00e4hrlich sein wie andere Arten von SQL-Injection.<\/p>\n<\/div>\n
Was ist eine gestapelte Abfrage?<\/strong>\n
Eine gestapelte Abfrage ist eine Art der SQL-Injektion, bei der der Angreifer mehrere Abfragen verwendet, um Informationen aus der Datenbank zu extrahieren. Diese Art von Angriff ist schwieriger auszuf\u00fchren, kann aber im Erfolgsfall sehr gef\u00e4hrlich sein.<\/p>\n<\/div>\n
Was ist eine fehlerbasierte SQL-Injektion?<\/strong>\n
Fehlerbasierte SQL-Injektion ist ein Angriff, bei dem der Angreifer Datenbankfehler nutzt, um Informationen aus der Datenbank abzuleiten. Dieser Angriff ist schwieriger auszuf\u00fchren, kann aber bei Erfolg sehr gef\u00e4hrlich sein.<\/p>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"
Was ist SQL-Injektion SQL-Injektion (SQLi) ist eine Angriffsart, die es Kriminellen erm\u00f6glicht, b\u00f6sartige SQL-Anweisungen in anf\u00e4lligen Webanwendungen auszuf\u00fchren. Angreifer k\u00f6nnen auf sensible Daten zugreifen, wie... SQL Injection 101: Was ist SQLi und wie verhindert man Angriffe?<\/span> read more<\/a><\/p>","protected":false},"author":1,"featured_media":644,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[27],"tags":[],"class_list":["post-505","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security","entry"],"yoast_head":"\nWhat is SQLi and How to Prevent Attacks | securitybriefing<\/title>\n<meta name=\"description\" content=\"Learn the basics of SQL injection. what is SQL injection, how does it work, and what ways to protect your site from attacks.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/securitybriefing.net\/de\/sicherheit\/sql-injection-101-was-ist-sqli-und-wie-man-angriffe-verhindert\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"What is SQLi and How to Prevent Attacks | securitybriefing\" \/>\n<meta property=\"og:description\" content=\"Learn the basics of SQL injection. what is SQL injection, how does it work, and what ways to protect your site from attacks.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/securitybriefing.net\/de\/sicherheit\/sql-injection-101-was-ist-sqli-und-wie-man-angriffe-verhindert\/\" \/>\n<meta property=\"og:site_name\" content=\"Security Briefing\" \/>\n<meta property=\"article:published_time\" content=\"2022-08-06T22:53:54+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/securitybriefing.net\/wp-content\/uploads\/2022\/08\/sql-injection.png\" \/>\n\t<meta property=\"og:image:width\" content=\"558\" \/>\n\t<meta property=\"og:image:height\" content=\"500\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"security\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Geschrieben von\" \/>\n\t<meta name=\"twitter:data1\" content=\"security\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"11\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/\"},\"author\":{\"name\":\"security\",\"@id\":\"https:\/\/securitybriefing.net\/#\/schema\/person\/e99d7bfcfc8ecee5ed34ef3f0416ee81\"},\"headline\":\"SQL Injection 101: What is SQLi and How to Prevent Attacks\",\"datePublished\":\"2022-08-06T22:53:54+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/\"},\"wordCount\":2130,\"publisher\":{\"@id\":\"https:\/\/securitybriefing.net\/#organization\"},\"image\":{\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/securitybriefing.net\/wp-content\/uploads\/2022\/08\/sql-injection.png\",\"articleSection\":[\"Security\"],\"inLanguage\":\"de\"},{\"@type\":[\"WebPage\",\"FAQPage\"],\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/\",\"url\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/\",\"name\":\"What is SQLi and How to Prevent Attacks | securitybriefing\",\"isPartOf\":{\"@id\":\"https:\/\/securitybriefing.net\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/securitybriefing.net\/wp-content\/uploads\/2022\/08\/sql-injection.png\",\"datePublished\":\"2022-08-06T22:53:54+00:00\",\"description\":\"Learn the basics of SQL injection. what is SQL injection, how does it work, and what ways to protect your site from attacks.\",\"breadcrumb\":{\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#breadcrumb\"},\"mainEntity\":[{\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826159348\"},{\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826187832\"},{\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826216670\"},{\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826245103\"},{\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826275267\"},{\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826301781\"},{\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826330814\"}],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#primaryimage\",\"url\":\"https:\/\/securitybriefing.net\/wp-content\/uploads\/2022\/08\/sql-injection.png\",\"contentUrl\":\"https:\/\/securitybriefing.net\/wp-content\/uploads\/2022\/08\/sql-injection.png\",\"width\":558,\"height\":500,\"caption\":\"sql injection\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/securitybriefing.net\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"SQL Injection 101: What is SQLi and How to Prevent Attacks\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/securitybriefing.net\/#website\",\"url\":\"https:\/\/securitybriefing.net\/\",\"name\":\"Security Briefing\",\"description\":\"Read cybersecurity news, online safety guides, cyber threat updates, and use free security tools from Security Briefing.\",\"publisher\":{\"@id\":\"https:\/\/securitybriefing.net\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/securitybriefing.net\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/securitybriefing.net\/#organization\",\"name\":\"Security Briefing\",\"url\":\"https:\/\/securitybriefing.net\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/securitybriefing.net\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/securitybriefing.net\/wp-content\/uploads\/2023\/06\/security-briefing-logo-5.png\",\"contentUrl\":\"https:\/\/securitybriefing.net\/wp-content\/uploads\/2023\/06\/security-briefing-logo-5.png\",\"width\":256,\"height\":70,\"caption\":\"Security Briefing\"},\"image\":{\"@id\":\"https:\/\/securitybriefing.net\/#\/schema\/logo\/image\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/securitybriefing.net\/#\/schema\/person\/e99d7bfcfc8ecee5ed34ef3f0416ee81\",\"name\":\"security\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/securitybriefing.net\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/f882f35c703c897d1ec76c380b39ceed3f7309182d44a3177612bc192f6c9ddb?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/f882f35c703c897d1ec76c380b39ceed3f7309182d44a3177612bc192f6c9ddb?s=96&d=mm&r=g\",\"caption\":\"security\"},\"description\":\"admin is a senior staff writer for Government Technology. She previously wrote for PYMNTS and The Bay State Banner, and holds a B.A. in creative writing from Carnegie Mellon. She\u2019s based outside Boston.\",\"sameAs\":[\"http:\/\/securitybriefing.net\"],\"url\":\"https:\/\/securitybriefing.net\/de\/author\/security\/\"},{\"@type\":\"Question\",\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826159348\",\"position\":1,\"url\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826159348\",\"name\":\"What is the most common SQL injection?\",\"answerCount\":1,\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"In-band SQL injection is the most common type of SQL injection attack. It occurs when an attacker can use the same communication channel to deliver the payload and gather results.\",\"inLanguage\":\"de\"},\"inLanguage\":\"de\"},{\"@type\":\"Question\",\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826187832\",\"position\":2,\"url\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826187832\",\"name\":\"What is the best defense of SQL injection?\",\"answerCount\":1,\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"The best defense against SQL injection is to use parameterized queries. This type of query uses placeholder values for parameters, which are supplied at a later date. This method allows the database to identify between source code and information.\",\"inLanguage\":\"de\"},\"inLanguage\":\"de\"},{\"@type\":\"Question\",\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826216670\",\"position\":3,\"url\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826216670\",\"name\":\"How is SQL injection detected?\",\"answerCount\":1,\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"SQL injection can be detected in several ways. One method is to use a web application firewall (WAF). A WAF is a piece of hardware or software that sits between a web application and the internet. It inspects traffic for malicious activity and can block SQL injection attacks.\",\"inLanguage\":\"de\"},\"inLanguage\":\"de\"},{\"@type\":\"Question\",\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826245103\",\"position\":4,\"url\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826245103\",\"name\":\"What is second-order SQL injection?\",\"answerCount\":1,\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Second-order SQL injection occurs when an attacker can inject a payload that is stored by the web application and then later executed. This type of attack is more difficult to achieve because the attacker must have a way to trigger the execution of the stored payload.\",\"inLanguage\":\"de\"},\"inLanguage\":\"de\"},{\"@type\":\"Question\",\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826275267\",\"position\":5,\"url\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826275267\",\"name\":\"What is blind SQL injection?\",\"answerCount\":1,\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Blind SQL injection is an attack where the attacker does not directly see the results of their payload. Instead, they must use true or false statements to infer information from the database. This type of attack is more challenging to execute but can be just as dangerous as other types of SQL injection.\",\"inLanguage\":\"de\"},\"inLanguage\":\"de\"},{\"@type\":\"Question\",\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826301781\",\"position\":6,\"url\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826301781\",\"name\":\"What is a stacked query?\",\"answerCount\":1,\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"A stacked query is a type of SQL injection where the attacker uses multiple queries to extract information from the database. This type of attack is more challenging to execute but can be very dangerous if successful.\",\"inLanguage\":\"de\"},\"inLanguage\":\"de\"},{\"@type\":\"Question\",\"@id\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826330814\",\"position\":7,\"url\":\"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826330814\",\"name\":\"What is an error-based SQL injection?\",\"answerCount\":1,\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Error-based SQL injection is an attack where the attacker uses database errors to infer information from the database. This attack is more challenging to execute but can be very dangerous if successful.\",\"inLanguage\":\"de\"},\"inLanguage\":\"de\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Was ist SQLi und wie verhindert man Angriffe | securitybriefing","description":"Lernen Sie die Grundlagen der SQL-Injektion. Was ist SQL-Injektion, wie funktioniert sie und wie k\u00f6nnen Sie Ihre Website vor Angriffen sch\u00fctzen.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/securitybriefing.net\/de\/sicherheit\/sql-injection-101-was-ist-sqli-und-wie-man-angriffe-verhindert\/","og_locale":"de_DE","og_type":"article","og_title":"What is SQLi and How to Prevent Attacks | securitybriefing","og_description":"Learn the basics of SQL injection. what is SQL injection, how does it work, and what ways to protect your site from attacks.","og_url":"https:\/\/securitybriefing.net\/de\/sicherheit\/sql-injection-101-was-ist-sqli-und-wie-man-angriffe-verhindert\/","og_site_name":"Security Briefing","article_published_time":"2022-08-06T22:53:54+00:00","og_image":[{"width":558,"height":500,"url":"https:\/\/securitybriefing.net\/wp-content\/uploads\/2022\/08\/sql-injection.png","type":"image\/png"}],"author":"security","twitter_card":"summary_large_image","twitter_misc":{"Geschrieben von":"security","Gesch\u00e4tzte Lesezeit":"11\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#article","isPartOf":{"@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/"},"author":{"name":"security","@id":"https:\/\/securitybriefing.net\/#\/schema\/person\/e99d7bfcfc8ecee5ed34ef3f0416ee81"},"headline":"SQL Injection 101: What is SQLi and How to Prevent Attacks","datePublished":"2022-08-06T22:53:54+00:00","mainEntityOfPage":{"@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/"},"wordCount":2130,"publisher":{"@id":"https:\/\/securitybriefing.net\/#organization"},"image":{"@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#primaryimage"},"thumbnailUrl":"https:\/\/securitybriefing.net\/wp-content\/uploads\/2022\/08\/sql-injection.png","articleSection":["Security"],"inLanguage":"de"},{"@type":["WebPage","FAQPage"],"@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/","url":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/","name":"Was ist SQLi und wie verhindert man Angriffe | securitybriefing","isPartOf":{"@id":"https:\/\/securitybriefing.net\/#website"},"primaryImageOfPage":{"@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#primaryimage"},"image":{"@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#primaryimage"},"thumbnailUrl":"https:\/\/securitybriefing.net\/wp-content\/uploads\/2022\/08\/sql-injection.png","datePublished":"2022-08-06T22:53:54+00:00","description":"Lernen Sie die Grundlagen der SQL-Injektion. Was ist SQL-Injektion, wie funktioniert sie und wie k\u00f6nnen Sie Ihre Website vor Angriffen sch\u00fctzen.","breadcrumb":{"@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#breadcrumb"},"mainEntity":[{"@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826159348"},{"@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826187832"},{"@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826216670"},{"@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826245103"},{"@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826275267"},{"@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826301781"},{"@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826330814"}],"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#primaryimage","url":"https:\/\/securitybriefing.net\/wp-content\/uploads\/2022\/08\/sql-injection.png","contentUrl":"https:\/\/securitybriefing.net\/wp-content\/uploads\/2022\/08\/sql-injection.png","width":558,"height":500,"caption":"sql injection"},{"@type":"BreadcrumbList","@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/securitybriefing.net\/"},{"@type":"ListItem","position":2,"name":"SQL Injection 101: What is SQLi and How to Prevent Attacks"}]},{"@type":"WebSite","@id":"https:\/\/securitybriefing.net\/#website","url":"https:\/\/securitybriefing.net\/","name":"Sicherheitsbriefing","description":"Read cybersecurity news, online safety guides, cyber threat updates, and use free security tools from Security Briefing.","publisher":{"@id":"https:\/\/securitybriefing.net\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/securitybriefing.net\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/securitybriefing.net\/#organization","name":"Sicherheitsbriefing","url":"https:\/\/securitybriefing.net\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/securitybriefing.net\/#\/schema\/logo\/image\/","url":"https:\/\/securitybriefing.net\/wp-content\/uploads\/2023\/06\/security-briefing-logo-5.png","contentUrl":"https:\/\/securitybriefing.net\/wp-content\/uploads\/2023\/06\/security-briefing-logo-5.png","width":256,"height":70,"caption":"Security Briefing"},"image":{"@id":"https:\/\/securitybriefing.net\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/securitybriefing.net\/#\/schema\/person\/e99d7bfcfc8ecee5ed34ef3f0416ee81","name":"Sicherheit","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/securitybriefing.net\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/f882f35c703c897d1ec76c380b39ceed3f7309182d44a3177612bc192f6c9ddb?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/f882f35c703c897d1ec76c380b39ceed3f7309182d44a3177612bc192f6c9ddb?s=96&d=mm&r=g","caption":"security"},"description":"admin ist eine leitende Redakteurin f\u00fcr Government Technology. Zuvor schrieb sie f\u00fcr PYMNTS und The Bay State Banner. Sie hat einen B.A. in kreativem Schreiben von Carnegie Mellon. Sie lebt in der N\u00e4he von Boston.","sameAs":["http:\/\/securitybriefing.net"],"url":"https:\/\/securitybriefing.net\/de\/author\/security\/"},{"@type":"Question","@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826159348","position":1,"url":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826159348","name":"Was ist die h\u00e4ufigste SQL-Injection?","answerCount":1,"acceptedAnswer":{"@type":"Answer","text":"In-band SQL injection is the most common type of SQL injection attack. It occurs when an attacker can use the same communication channel to deliver the payload and gather results.","inLanguage":"de"},"inLanguage":"de"},{"@type":"Question","@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826187832","position":2,"url":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826187832","name":"Was ist die beste Verteidigung gegen SQL-Injection?","answerCount":1,"acceptedAnswer":{"@type":"Answer","text":"The best defense against SQL injection is to use parameterized queries. This type of query uses placeholder values for parameters, which are supplied at a later date. This method allows the database to identify between source code and information.","inLanguage":"de"},"inLanguage":"de"},{"@type":"Question","@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826216670","position":3,"url":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826216670","name":"Wie wird SQL-Injection erkannt?","answerCount":1,"acceptedAnswer":{"@type":"Answer","text":"SQL injection can be detected in several ways. One method is to use a web application firewall (WAF). A WAF is a piece of hardware or software that sits between a web application and the internet. It inspects traffic for malicious activity and can block SQL injection attacks.","inLanguage":"de"},"inLanguage":"de"},{"@type":"Question","@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826245103","position":4,"url":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826245103","name":"Was ist eine SQL-Injektion zweiter Ordnung?","answerCount":1,"acceptedAnswer":{"@type":"Answer","text":"Second-order SQL injection occurs when an attacker can inject a payload that is stored by the web application and then later executed. This type of attack is more difficult to achieve because the attacker must have a way to trigger the execution of the stored payload.","inLanguage":"de"},"inLanguage":"de"},{"@type":"Question","@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826275267","position":5,"url":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826275267","name":"Was ist eine blinde SQL-Injektion?","answerCount":1,"acceptedAnswer":{"@type":"Answer","text":"Blind SQL injection is an attack where the attacker does not directly see the results of their payload. Instead, they must use true or false statements to infer information from the database. This type of attack is more challenging to execute but can be just as dangerous as other types of SQL injection.","inLanguage":"de"},"inLanguage":"de"},{"@type":"Question","@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826301781","position":6,"url":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826301781","name":"Was ist eine gestapelte Abfrage?","answerCount":1,"acceptedAnswer":{"@type":"Answer","text":"A stacked query is a type of SQL injection where the attacker uses multiple queries to extract information from the database. This type of attack is more challenging to execute but can be very dangerous if successful.","inLanguage":"de"},"inLanguage":"de"},{"@type":"Question","@id":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826330814","position":7,"url":"https:\/\/securitybriefing.net\/security\/sql-injection-101-what-is-sqli-and-how-to-prevent-attacks\/#faq-question-1659826330814","name":"Was ist eine fehlerbasierte SQL-Injektion?","answerCount":1,"acceptedAnswer":{"@type":"Answer","text":"Error-based SQL injection is an attack where the attacker uses database errors to infer information from the database. This attack is more challenging to execute but can be very dangerous if successful.","inLanguage":"de"},"inLanguage":"de"}]}},"_links":{"self":[{"href":"https:\/\/securitybriefing.net\/de\/wp-json\/wp\/v2\/posts\/505","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/securitybriefing.net\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/securitybriefing.net\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/securitybriefing.net\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/securitybriefing.net\/de\/wp-json\/wp\/v2\/comments?post=505"}],"version-history":[{"count":0,"href":"https:\/\/securitybriefing.net\/de\/wp-json\/wp\/v2\/posts\/505\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/securitybriefing.net\/de\/wp-json\/wp\/v2\/media\/644"}],"wp:attachment":[{"href":"https:\/\/securitybriefing.net\/de\/wp-json\/wp\/v2\/media?parent=505"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/securitybriefing.net\/de\/wp-json\/wp\/v2\/categories?post=505"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/securitybriefing.net\/de\/wp-json\/wp\/v2\/tags?post=505"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}