SQL Injection Demo - Sicher vs. Verwundbar

Hier wird eine SQL Injection über das Eingabefeld "Konto" in einem Anmeldefenster gezeigt.

Grundsätzlich ist jedes Eingabefeld, das auf die gezeigte Weise (unzureichend!) verarbeitet wird, für SQL Injections anfällig – insbesondere Felder, in die man Filterkriterien eingeben kann.

⚠️ Ihre Eingaben werden nach Klick auf [Anmelden] angezeigt! Keine echten Kennwörter eingeben! ⚠️

🎓 SQL Injection Beispiele für Lehrzwecke:

Gültige Anmeldung:

Konto: admin
Kennwort: admin123

Hinweis: Die folgenden zwei Credentials "funktionieren" nur ohne Checkbox!

Authentication Bypass:

Konto: ' OR 1=1 --
Kennwort: beliebig (aber nicht leer)

UNION Attack (Daten aus product-Tabelle auslesen):

Konto: admin' UNION SELECT name FROM product --
Kennwort: beliebig (aber nicht leer)
Dazu muss der Angreifer natürlich wissen, dass das Ziel eine Tabelle "product" mit einer Spalte "name" enthält.

Lernziel: Versuchen Sie die Angriffe einmal mit und einmal ohne Checkbox! Sie werden sehen, dass die Prepared Statements alle Injection-Versuche als normale Daten behandeln und somit keinerlei Sicherheitsrisiko besteht.