Zur Startseite - das Weblog -

Warum Halbwissen so gefährlich ist

Gerade heute morgen lese ich einen Artikel auf dem Bloggonaut Blog in dem der Autor beschreibt, wie man mit einfachen Mitteln ein Gästebuch in PHP erstellen kann.

Als PHP-Profi überfliege ich den hier vorgestellten Code natürlich, um dann festzustellen, dass es sich praktisch um eine Einladung für Hacker handelt. Der hier vorgestellte Code Schnipsel:

$name = $_POST["name"];
$email = $_POST["email"];
$nachricht = $_POST["nachricht"];

und

$query = "INSERT INTO test (name, email, nachricht)
VALUES ('".$name."','".$email."','".$nachricht."')";
$result = mysql_query($query, $res);


ist geradezu ein Musterbeispiel, wie man sich eine SQL-Injection einfangen kann. Gerade so würde es ein PHP-Profi nicht machen.

Man kann dem Autor zugute halten, dass er gerade erst im Schnellkurs PHP gelernt hat, und sich daher mit dem gefährlichen Risiken und Nebenwirkungen nicht auskennt. Umso bedenklicher ist es dann aber, wenn man dann gleich sein frisch erworbenes Halbwissen in einem gut besuchten Blog als Tutorial verbreitet.

Ich selbst lebe teilweise von Kunden, die gerade wegen solcher Sicherheitsprobleme zu mir kommen, weil sie jemand suchen der hinter dem (ehemaligen) Programmierer gründlich aufräumt. Gerade vor einigen Monaten hat es eine Volkshochschule erwischt, deren Userdaten durch eine SQL-Injection in falsche Hände geraten sind.

Trotzdem scheint der Autor zumindest etwas in seinem Kurs gelernt zu haben, denn die Gefahr durch eingeschleusten JavaScript Code (Stichwort XSS Attacke) über htmlentities() hat er in seinem Artikel berücksichtigt. Aber das reicht nicht, Halbwissen eben :)

Ich habe den Blog-Betreiber auf jeden Fall gleich im Kommentar auf das Problem hingewiesen. Bin mal gespannt wann der Artikel entsprechend korrigiert wird.

30.09.2010 16:09:22, von Marian , 265 Wörter, 2717 mal angeschaut   Kategorien: Artikel, Programmieren, Quick Tipps