SQL-injektion

SQL-Injektion är ett mycket vanligt säkerhetsproblem på hemsidor som använder MySQL eller andra databaser. Det uppstår i samband med att en användare skickar in parametrar till en databasfråga. Om dessa parametrar ändras, kan den avsedda operationen också ändras för att kringgå inloggningar, manipulering av data m.m.

Exempel där lösenordet skickas in till ett script:

SELECT * FROM UserTable WHERE Password = 'PASS_WORD'

Om värdet för PASS_WORD nu ändras till tex:

' OR 1

Så kommer frågan istället att se ut enligt:

SELECT * FROM UserTable WHERE Password = '' OR 1

Dvs en fråga som alltid kommer att gå igenom. På detta sätt skulle en inloggning kunna kringgås.

• Swesecure.com SQL-Injection artikel
• MS Access SQL Injection Cheat Sheet