Warum gibt es soviele Seiten wo SQL-Injections möglich sind?
-
Hallo,
warum wird im Webbereich eigentlich sowenig mit Stored Procedures gearbeitet? Warum benutzt fast jedes Skript direkte Abfragen?
-
Wohl weils einfach schnell und billig sein soll.
-
umsi schrieb:
Hallo,
warum wird im Webbereich eigentlich sowenig mit Stored Procedures gearbeitet? Warum benutzt fast jedes Skript direkte Abfragen?
Die Lösung sind nicht stored procedures sondern prepared statements. Warum die Webentwickler diese nicht einsetzen liegt wohl an der Bequemlichkeit.
Leider sind viele Webentwickler, wie auch andere Entwickler sehr schlecht ausgebildet. Viele haben gerade mal die Hälfte eines PHP-Anfängerbuches durchgelesen und bieten dann professionelle Webentwicklung an.
Ich frage mich, ob die Entwickler ihre Haustür zu machen, wenn sie das Haus verlassen. Es ist doch so unbequem, die Haustür nachher wieder aufzuschliessen .
-
tntnet schrieb:
Ich frage mich, ob die Entwickler ihre Haustür zu machen, wenn sie das Haus verlassen. Es ist doch so unbequem, die Haustür nachher wieder aufzuschliessen .
Hahah, gefällt mir ;)!
Aber das ist es, finde es auch schon schlimm wenn leute sich als homepageentwickler verkaufen die dann eine frontpage site an den kunden bringen wollen...
-
tntnet schrieb:
Leider sind viele Webentwickler, wie auch andere Entwickler sehr schlecht ausgebildet. Viele haben gerade mal die Hälfte eines PHP-Anfängerbuches durchgelesen und bieten dann professionelle Webentwicklung an.
FULL ACK.
Es wird nirgends so viel gefrickelt, wie in der IT-Branche.Lustigerweise kenne ich sogar Lehrbücher für PHP, welche die Strings von Eingabefeldern gnadenlos in den Querystring pampen. Viele denken halt nicht eine Sekunde über den Code nach, den sie irgendwo abschreiben.
-
Man macht sich Anfangs halt gar keine Gedanken über Sicherheit und ist zufrieden, wenn der Code "funktioniert". Ich habe vor kurzem ebenfalls angefangen PHP sowie ASP.NET (C#) zu lernen und ich war schockiert welche Abgründe sich da auftun, wenn mal ein erfahrener Web Entwickler über den eigenen Source guckt Das Problem ist, das Script-Sicherheit in kaum einem Tutorial oder Buch beschrieben wird. "mach kein GET mit sensiblen Daten" ist da meisst schon alles.