Im Rahmen eines Projektes habe ich eine eigene REST API geschrieben und habe mich im Internet darüber informiert, wie ich die Sicherheit meiner Datenbankabfragen maximieren kann, um den Hackern nicht zu ermöglichen, Datenbank Injizierungen auszuführen.
SQL-Injection (dt. SQL-Einschleusung) bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken, die durch mangelnde Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht. Der Angreifer versucht dabei, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Datenbankbefehle einzuschleusen. Sein Ziel ist es, Daten auszuspähen, in seinem Sinne zu verändern, die Kontrolle über den Server zu erhalten oder einfach größtmöglichen Schaden anzurichten.
SQL-Injection – Wikipedia
Die Lösung
Ich habe für mich die Lösung darin gefunden, PDO zu nutzen. PDO steht für PHP Data Objects. Während man bei einer normalen MySQLi Abfrage einen String angibt, der sofort von der MySQL Datenbank ausgeführt wird, arbeitet man in PDO mit Platzhaltern. Das bedeutet, dass eure Datenbankabfrage nicht manipuliert werden kann.
Wenn ich jetzt ausführlich darüber schreiben würde, müsste ich eine ganze Tutorial-Serie schreiben. Ich kann euch jedoch eine Webseite empfehlen, von wo ich ebenfalls die Abfragen gelernt und umgesetzt habe.
