Der kleine Robert „Bobby” Tables ist Gegenstand eines Comics von xkcd (einer recht legendären Sammlung von Web-Comics von Randall Munroe). Der Comic über besagten Bobby Tales trägt den Titel “Exploits of a Mom” [XKCD2]. Ein Exploit beschreibt die Ausnutzung einer Sicherheitslücke in Computer-Systemen. In dem Comic geht es um einen Schüler, dessen Mutter ihren Sohn folgendem Namen verleiht — natürlich nur temporär:
Robert’); DROP TABLE Students; —
Das, was hinter dem Vornamen steht, mag wie Hieroglyphen oder ein Tippfehler aussehen. In der Tat handelt es sich aber um eine SQL-Anweisung, also den Befehl, die Tabelle mit dem Namen „Students“ zu löschen. Der Comic thematisiert damit die Sicherheitslücke SQL-Injection.
Dabei wird über eine Eingabemaske eine spezielle Zeichenfolge an das System übergeben, das diese ungeprüft übernimmt und so zu einer ungewünschten Aktion „überrumpelt“ wird. Das Ziel muss nicht unbedingt das Löschen von Daten sein, auch der Abruf von kritischen Informationen wie Passwörtern ist denkbar.
Die Moral der Geschichte, die sich an die Entwicklerinnen von Eingabeformularen oder Datenbank-Schnittstellen wendet: Prüfe die Eingabe deiner Nutzerinnen.
Zusammenfassung
Eine Erklärung aus der 'Nerd Enzyklopädie' über den berühmten xkcd-Comic 'Der kleine Bobby Tables' und die von ihm illustrierte Sicherheitslücke: SQL-Injection. Der Artikel erläutert, wie bösartiger SQL-Code über Eingabefelder in Datenbanken eingeschleust werden kann, um unerwünschte Aktionen auszuführen, und betont die Notwendigkeit der Validierung von Benutzereingaben.
Hauptthemen: SQL Injection Web-Sicherheit Datenbanken Programmierung Nerd-Kultur xkcd
Schwierigkeitsgrad: beginner
Lesezeit: ca. 5 Minuten