Der kleine Bobby Tables

Der kleine Robert „Bobby” Tables ist Gegenstand eines Comics von xkcd (einer recht legendären Sammlung von Web-Comics von Randall Munroe). Der Comic über besagten Bobby Tales trägt den Titel “Exploits of a Mom” [XKCD2]. Ein Exploit beschreibt die Ausnutzung einer Sicherheitslücke in Computer-Systemen. In dem Comic geht es um einen Schüler, dessen Mutter ihren Sohn folgendem Namen verleiht — natürlich nur temporär:

Robert’); DROP TABLE Students; — 

Das, was hinter dem Vornamen steht, mag wie Hieroglyphen oder ein Tippfehler aussehen. In der Tat handelt es sich aber um eine SQL-Anweisung, also den Befehl, die Tabelle mit dem Namen „Students“ zu löschen. Der Comic thematisiert damit die Sicherheitslücke SQL-Injection.

Dabei wird über eine Eingabemaske eine spezielle Zeichenfolge an das System übergeben, das diese ungeprüft übernimmt und so zu einer ungewünschten Aktion „überrumpelt“ wird. Das Ziel muss nicht unbedingt das Löschen von Daten sein, auch der Abruf von kritischen Informationen wie Passwörtern ist denkbar.

Die Moral der Geschichte, die sich an die Entwicklerinnen von Eingabeformularen oder Datenbank-Schnittstellen wendet: Prüfe die Eingabe deiner Nutzerinnen.