Status & Leistung
Website-Uptime-Monitoring
Überwachen Sie die Verfügbarkeit von HTTP, HTTPS, DNS, UDP, TCP, E-Mail und mehr.
Website-Geschwindigkeits-Monitoring
Überwachen Sie die gesamte Website-Leistung durch Laden mit einem echten Chrome-Browser.
Real-User-Monitoring
Überwachen Sie die Geschwindigkeit der Benutzererfahrung für Besucher Ihrer Website.
Betrieb
Web-Transaktions-Monitoring
Überwachen Sie mehrstufige Transaktionen und werden Sie benachrichtigt, wenn etwas schief geht.
Domain-Ablauf-Monitoring
Überwachen Sie den Ablauf Ihrer Domains.
Öffentliche Statusseite
Zeigen Sie Echtzeit-Betriebsupdates Ihrer Website öffentlich an.
Sicherheit
SSL-Zertifikat-Monitoring
Überwachen Sie das SSL-Zertifikat Ihrer Website.
Virus-Monitoring
Neu
Werden Sie alarmiert, wenn Ihre Website von Viren oder Malware infiziert wird.
Bereit loszulegen? Kostenlos registrieren
Ressourcen
Lernen
Erfahren Sie Neues zu verschiedenen Themen rund um Website-Monitoring, -Wartung und -Entwicklung.
Fragen
Finden Sie Antworten auf häufige Fragen zum Website-Monitoring, zur Wartung und Entwicklung.
Produktinformationen
Blog
Hilfreiche Informationen für unsere Kunden über unsere Updates und Produktneuigkeiten.
Bereit loszulegen? Kostenlos registrieren

Wie man SQL-Injection in PHP verhindert

Startseite  »  Lernen  »  Wie man SQL-Injection in PHP verhindert
Veröffentlicht 26. Januar 2026

SQL Injection ist ein großes Sicherheitsproblem, das Angreifern ermöglichen kann, Datenbankabfragen zu verändern und Zugriff auf vertrauliche Daten zu erlangen, die sie nicht sehen sollten. In PHP-Anwendungen treten SQL Injection-Angriffe auf, wenn Benutzereingaben nicht überprüft oder bereinigt werden, bevor sie in SQL-Abfragen verwendet werden. Dieser Artikel betrachtet die verschiedenen Arten von SQL Injection-Angriffen, zeigt Beispiele für angreifbaren PHP-Code und bespricht die besten Methoden, um SQL Injection-Probleme in Ihren Anwendungen zu verhindern.

SQL Injection-Angriffe in PHP verstehen

Was ist SQL Injection?

SQL Injection ist eine Technik, die von Angreifern verwendet wird, um bösartigen SQL-Code in eine anfällige PHP-Anwendung einzuschleusen. Sie tritt auf, wenn Benutzereingaben nicht richtig validiert oder bereinigt werden, bevor sie in einer SQL-Abfrage verwendet werden. Angreifer nutzen unzureichende Eingabevalidierung und dynamische SQL-Abfragen aus, um das Verhalten der Anwendung zu manipulieren und unautorisierten Zugriff auf die Datenbank zu erlangen. Durch das Erstellen spezieller Eingabewerte können Angreifer die Struktur der SQL-Abfrage verändern, Authentifizierung umgehen, sensible Informationen abrufen oder sogar beliebige SQL-Befehle auf dem Datenbankserver ausführen.

Hier ist ein Beispiel für einen anfälligen PHP-Code-Ausschnitt, der SQL Injection ermöglicht:

$username = $_POST['username'];
$password = $_POST['password'];

$query = "SELECT * FROM users WHERE username='$username' AND password='$password'";
$result = mysqli_query($connection, $query);

In diesem Code werden die vom Benutzer bereitgestellten Werte $username und $password direkt in die SQL-Abfrage eingebunden, ohne jegliche Validierung oder Bereinigung. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er bösartige Eingaben wie diese eingibt:

username: admin' --
password: beliebigerwert

Die resultierende SQL-Abfrage wäre:

SELECT * FROM users WHERE username='admin' -- AND password='beliebigerwert'

Die -- Kommentar-Syntax macht die Passwortprüfung unwirksam und ermöglicht es dem Angreifer, die Authentifizierung zu umgehen und unautorisierten Zugriff zu erlangen.

Häufige Arten von SQL Injection-Angriffen

Union-basierte SQL Injection

Bei dieser Art von Angriff verwenden Angreifer den UNION-Operator, um die Ergebnisse mehrerer SELECT-Anweisungen zu kombinieren und sensible Informationen zu extrahieren. Durch das Anhängen einer bösartigen SELECT-Anweisung an die ursprüngliche Abfrage können Angreifer Daten aus verschiedenen Tabellen oder Spalten abrufen, die nicht zugänglich sein sollten. Diese Technik basiert darauf, dass die Anwendung das Ergebnis der eingeschleusten Abfrage an den Angreifer zurückgibt.

Beispiel einer Union-basierten SQL Injection:

Ursprüngliche Abfrage:

SELECT name, description FROM products WHERE id = $id

Eingeschleuste Abfrage:

SELECT name, description FROM products WHERE id = 1 UNION SELECT username, password FROM users

Die eingeschleuste Abfrage kombiniert die ursprüngliche Abfrage mit einer zusätzlichen SELECT-Anweisung, die sensible Benutzeranmeldedaten aus der users-Tabelle abruft.

Blind SQL Injection

Blind SQL Injection tritt auf, wenn die Anwendung die Ergebnisse der eingeschleusten Abfrage nicht direkt an den Angreifer zurückgibt. Stattdessen senden Angreifer speziell gestaltete Abfragen und beobachten die Antwort der Anwendung, um auf die Struktur und den Inhalt der Datenbank zu schließen. Sie tun dies, indem sie die Anwendung auf der Grundlage des Ergebnisses der eingeschleusten Bedingung unterschiedlich reagieren lassen. Durch sorgfältiges Konstruieren der Abfragen und Analysieren der Antwortzeit, Fehlermeldungen oder anderer Verhaltensänderungen der Anwendung können Angreifer sensible Informationen Stück für Stück extrahieren.

Beispiel einer Blind SQL Injection:

Ursprüngliche Abfrage:

SELECT * FROM users WHERE id = $id

Eingeschleuste Abfrage:

SELECT * FROM users WHERE id = 1 AND SUBSTRING(password, 1, 1) = 'a'

In diesem Fall schleust der Angreifer eine Bedingung ein, die überprüft, ob das erste Zeichen des Passworts 'a' ist. Durch Beobachten der Antwort der Anwendung (z.B. eine Verzögerung oder ein Fehler) kann der Angreifer bestimmen, ob die Bedingung wahr oder falsch ist und das Passwort schrittweise Zeichen für Zeichen erraten.

Fehlerbasierte SQL Injection

Bei dieser Technik lösen Angreifer absichtlich SQL-Fehler aus, um Informationen über die Datenbank und ihr Schema zu sammeln. Sie tun dies, indem sie fehlerhafte SQL-Anweisungen oder Sonderzeichen einfügen, die dazu führen, dass die Datenbank Fehlermeldungen generiert. Diese Fehlermeldungen enthalten oft wertvolle Informationen wie Tabellennamen, Spaltennamen oder sogar Teile sensibler Daten. Angreifer können diese Informationen nutzen, um ihre Angriffe zu verfeinern und bestimmte Teile der Datenbank gezielt anzugreifen.

Beispiel einer fehlerbasierten SQL Injection:

Eingeschleuste Abfrage:

SELECT * FROM users WHERE id = 1 AND (SELECT 1 FROM (SELECT COUNT(*), CONCAT((SELECT (SELECT CONCAT(username,':',password)) FROM users LIMIT 0,1), 0x3a, FLOOR(RAND(0)*2)) x FROM information_schema.tables GROUP BY x) a)

Diese komplexe eingeschleuste Abfrage versucht, den Benutzernamen und das Passwort aus der users-Tabelle zu extrahieren, indem ein Fehler ausgelöst wird, der die sensiblen Informationen in der Fehlermeldung enthält.

SQL Injection-Angriffe verhindern

Um SQL Injection-Angriffe in PHP-Anwendungen zu verhindern, befolgen Sie diese Best Practices:

Methode Beschreibung
Parametrisierte Abfragen Verwenden Sie Prepared Statements mit parametrisierten Abfragen, um Benutzereingaben von der SQL-Abfragestruktur zu trennen.
Eingabevalidierung Validieren und bereinigen Sie Benutzereingaben, bevor Sie sie in SQL-Abfragen verwenden. Lehnen Sie Sonderzeichen oder bösartige Eingaben ab oder bereinigen Sie diese.
Minimale Berechtigungen Konfigurieren Sie das Datenbank-Benutzerkonto so, dass es nur die minimal erforderlichen Berechtigungen für die Funktionalität der Anwendung hat.
Maskierung von Sonderzeichen Wenn parametrisierte Abfragen nicht möglich sind, maskieren Sie Sonderzeichen in Benutzereingaben ordnungsgemäß mit PHPs mysqli_real_escape_string() oder PDOs quote()-Funktion.
Stored Procedures Verwenden Sie Stored Procedures, um Datenbankoperationen zu kapseln und den Zugriff auf die zugrunde liegenden Tabellen zu begrenzen.
Prepared Statements Verwenden Sie Prepared Statements, um SQL-Abfragen vorzukompilieren und Benutzereingaben von der Abfragestruktur zu trennen. Prepared Statements behandeln Benutzereingaben als Daten, nicht als Teil des SQL-Befehls.

Hier ist ein Diagramm, das den Ablauf eines SQL Injection-Angriffs veranschaulicht:

graph TD A[Angreifer] --> B[Erstellt bösartige Eingabe] B --> C[Sendet bösartige Eingabe an die Anwendung] C --> D[Anwendung empfängt die Eingabe] D --> E{Eingabe korrekt validiert/bereinigt?} E -->|Nein| F[SQL-Abfrage mit bösartiger Eingabe verknüpft] F --> G[Datenbank führt die eingeschleuste Abfrage aus] G --> H[Angreifer erhält unautorisierten Zugriff oder ruft sensible Daten ab] E -->|Ja| I[SQL-Abfrage wird sicher ausgeführt] I --> J[Anwendung funktioniert wie vorgesehen]

SQL Injection in PHP mit Prepared Statements verhindern

Prepared Statements

Prepared Statements führen SQL-Abfragen aus, indem sie die SQL-Logik von Benutzereingaben trennen. Sie schützen vor SQL Injection-Angriffen. Anstatt Benutzereingaben in die SQL-Abfrage einzufügen, verwenden Prepared Statements Platzhalter (z.B. ? oder benannte Parameter wie :username) für die Eingabewerte. Diese Platzhalter werden später mit den tatsächlichen Werten verknüpft, bevor die Abfrage ausgeführt wird. Durch die Trennung der SQL-Struktur von der Benutzereingabe behandeln Prepared Statements die Eingabe als Daten und nicht als Teil des SQL-Befehls, was das Einschleusen von bösartigem SQL-Code verhindert.

PDO (PHP Data Objects) für Prepared Statements

PDO (PHP Data Objects) ist eine Erweiterung in PHP, die eine konsistente und sichere Methode zur Interaktion mit verschiedenen Datenbanken bietet. Sie unterstützt Prepared Statements und parametrisierte Abfragen und ist daher eine gute Wahl zur Verhinderung von SQL Injection-Schwachstellen.

PDO bietet Methoden zum sicheren Vorbereiten, Binden und Ausführen von SQL-Anweisungen. Es verarbeitet die Unterschiede zwischen Datenbankanbietern, sodass Sie portablen und wartbaren Code schreiben können. PDO bietet auch eine bessere Performance als traditionelle MySQL-Funktionen, da es dasselbe Prepared Statement mehrmals mit verschiedenen Parameterwerten wiederverwenden kann.

Anleitung zur Verwendung von Prepared Statements mit PDO

Hier ist eine Anleitung, wie Sie Prepared Statements mit PDO verwenden, um SQL Injection in PHP zu verhindern:

  1. Mit PDO zur Datenbank verbinden:

    $dsn = 'mysql:host=localhost;dbname=meinedatenbank';
$username = 'ihr_benutzername';
$password = 'ihr_passwort';

try {
   $pdo = new PDO($dsn, $username, $password);
   $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch (PDOException $e) {
   die('Verbindung fehlgeschlagen: ' . $e->getMessage());
}

  2. Die SQL-Abfrage mit Platzhaltern für Benutzereingaben vorbereiten:

    $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username");

    In diesem Beispiel ist :username ein benannter Parameter, der als Platzhalter für den vom Benutzer bereitgestellten Benutzernamen-Wert dient.

  3. Die Benutzereingabe an die Platzhalter binden:

    $username = $_POST['username'];
$stmt->bindParam(':username', $username);

    Die bindParam()-Methode bindet die Benutzereingabe an den benannten Parameter im Prepared Statement. Sie behandelt die Eingabe als Daten und nicht als Teil des SQL-Befehls.

  4. Das Prepared Statement ausführen:

    $stmt->execute();

    Die execute()-Methode führt das Prepared Statement mit den gebundenen Parameterwerten aus.

  5. Die Ergebnisse abrufen und verarbeiten:

    $user = $stmt->fetch(PDO::FETCH_ASSOC);

    Die fetch()-Methode ruft das Ergebnis der ausgeführten Anweisung ab. Sie können den Fetch-Stil angeben, wie z.B. PDO::FETCH_ASSOC, um ein assoziatives Array zurückzugeben.

Beispiel: Benutzer-Login

Betrachten wir ein Beispiel eines Benutzer-Login-Systems, bei dem wir Benutzerinformationen basierend auf dem angegebenen Benutzernamen und Passwort abrufen müssen. So können Sie Prepared Statements mit PDO verwenden, um SQL Injection zu verhindern:

// Die Benutzereingabe aus dem Login-Formular abrufen
$username = $_POST['username'];
$password = $_POST['password'];

// Die SQL-Abfrage mit Platzhaltern vorbereiten
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");

// Die Benutzereingabe an die Platzhalter binden
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);

// Das Prepared Statement ausführen
$stmt->execute();

// Den Benutzerdatensatz abrufen
$user = $stmt->fetch(PDO::FETCH_ASSOC);

// Prüfen, ob der Benutzer existiert und das Passwort korrekt ist
if ($user) {
    // Benutzer erfolgreich authentifiziert
    // Aktionen durchführen (z.B. Session setzen, weiterleiten)
} else {
    // Ungültiger Benutzername oder Passwort
    // Eine Fehlermeldung anzeigen
}

In diesem Beispiel werden der vom Benutzer angegebene Benutzername und das Passwort an die Platzhalter im Prepared Statement gebunden. Die SQL-Abfrage wird sicher ausgeführt und verhindert potenzielle SQL Injection-Versuche.

Vorteile von Prepared Statements

  • Trennt SQL-Logik von Benutzereingaben und verhindert SQL Injection-Angriffe
  • Verbessert die Lesbarkeit und Wartbarkeit des Codes
  • Ermöglicht die Wiederverwendung desselben Prepared Statements mit verschiedenen Parameterwerten
  • Bietet bessere Performance als traditionelle MySQL-Funktionen

Best Practices

  • Verwenden Sie immer Prepared Statements für SQL-Abfragen mit Benutzereingaben
  • Validieren und bereinigen Sie Benutzereingaben, bevor Sie sie in SQL-Abfragen verwenden
  • Verwenden Sie benannte Parameter für bessere Lesbarkeit und Wartbarkeit
  • Implementieren Sie sichere Datenbankkonfiguration und Zugriffskontrolle mit minimalen Berechtigungen
  • Halten Sie Ihre PHP- und Datenbank-Software mit den neuesten Sicherheits-Patches auf dem aktuellen Stand

Zusätzliche Maßnahmen zur Verhinderung von SQL Injection in PHP

Eingabevalidierungstechniken

Neben der Verwendung von Prepared Statements sollten Sie Benutzereingaben validieren und bereinigen, bevor Sie sie in SQL-Abfragen verwenden. Die Eingabevalidierung verhindert SQL Injection-Angriffe, indem sie überprüft, dass die von Benutzern eingegebenen Daten dem erwarteten Format entsprechen und nur erlaubte Zeichen enthalten.

Whitelisting ist eine gute Technik, bei der Sie eine Reihe erlaubter Zeichen oder Muster definieren und jede Eingabe ablehnen, die diesen Regeln nicht entspricht. Wenn Sie beispielsweise erwarten, dass ein Benutzer eine numerische ID eingibt, können Sie die Eingabe mit regulären Ausdrücken validieren, um sicherzustellen, dass sie nur Ziffern enthält.

Hier ist ein Beispiel für die Validierung einer numerischen ID mit PHP:

$id = $_POST['id'];

// Validieren, dass die ID nur Ziffern enthält
if (!preg_match('/^\d+$/', $id)) {
    // Ungültige Eingabe, Fehler behandeln
    die("Ungültiges ID-Format");
}

// Die validierte ID in der SQL-Abfrage verwenden
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?");
$stmt->execute([$id]);

In diesem Beispiel prüft die preg_match()-Funktion, ob die $id-Variable nur Ziffern enthält. Wenn die Validierung fehlschlägt, wird ein Fehler ausgegeben, der verhindert, dass die ungültige Eingabe in der SQL-Abfrage verwendet wird.

Sie sollten auch Sonderzeichen ordnungsgemäß maskieren und die richtigen Kodierungsmethoden verwenden. Sonderzeichen wie einfache Anführungszeichen, doppelte Anführungszeichen und Backslashes können verwendet werden, um SQL-Abfragen zu manipulieren, wenn sie nicht korrekt behandelt werden. Durch das Maskieren dieser Zeichen oder die Verwendung geeigneter Kodierungsfunktionen können Sie verhindern, dass sie als Teil der SQL-Syntax interpretiert werden.

PHP hat Funktionen wie mysqli_real_escape_string() oder PDO::quote(), um Sonderzeichen in Benutzereingaben zu maskieren. Es ist jedoch generell besser, Prepared Statements mit parametrisierten Abfragen anstelle manueller Maskierung zu verwenden, da dies ein zuverlässigerer und sicherer Ansatz ist.

Hier sind einige Beispiele für gängige Eingabevalidierungstechniken:

Technik Beschreibung Beispiel
Whitelisting Nur bestimmte Zeichen oder Muster erlauben Nur alphanumerische Zeichen erlauben: /^[a-zA-Z0-9]+$/
Längenvalidierung Die Länge der Eingabe prüfen Benutzername muss zwischen 4 und 20 Zeichen lang sein: /^.{4,20}$/
Typvalidierung Den Eingabetyp validieren (z.B. Integer, E-Mail) E-Mail-Adresse validieren: /^[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Z]{2,}$/i
Bereichsvalidierung Prüfen, ob die Eingabe in einen bestimmten Bereich fällt Alter muss zwischen 18 und 120 liegen: /^(1[89]|[2-9]\d|1[01]\d|120)$/

Stored Procedures und parametrisierte Abfragen

Stored Procedures sind vorkompilierte SQL-Anweisungen, die in der Datenbank gespeichert sind und aus dem Anwendungscode aufgerufen werden können. Sie bieten eine zusätzliche Sicherheitsebene, indem sie komplexe SQL-Logik kapseln und den Zugriff auf die zugrunde liegenden Tabellen begrenzen.

Bei der Verwendung von Stored Procedures können Sie Parameter definieren, die Benutzereingaben akzeptieren, ähnlich wie bei Prepared Statements. Durch die Übergabe von Benutzereingaben als Parameter an Stored Procedures können Sie SQL Injection-Angriffe verhindern, da die Eingabe als Daten und nicht als Teil des SQL-Befehls behandelt wird.

Hier ist ein Beispiel einer Stored Procedure, die Benutzerinformationen basierend auf einem angegebenen Benutzernamen abruft:

CREATE PROCEDURE GetUserByUsername
    @Username VARCHAR(50)
AS
BEGIN
    SELECT * FROM users WHERE username = @Username
END

In diesem Beispiel akzeptiert die Stored Procedure GetUserByUsername einen Parameter @Username und verwendet ihn in der SQL-Abfrage, um Benutzerinformationen abzurufen. Der Parameter wird als Daten behandelt, was SQL Injection verhindert.

Um die Stored Procedure von PHP aus aufzurufen, können Sie PDO oder MySQLi verwenden:

$username = $_POST['username'];

$stmt = $pdo->prepare("CALL GetUserByUsername(?)");
$stmt->execute([$username]);
$user = $stmt->fetch(PDO::FETCH_ASSOC);

Durch die Verwendung von Stored Procedures mit parametrisierten Abfragen können Sie die Datenbankzugriffslogik zentralisieren, die Performance verbessern und die Sicherheit Ihrer PHP-Anwendung erhöhen.

Prinzip der minimalen Berechtigungen und Datenbank-Benutzerrollen

Das Prinzip der minimalen Berechtigungen bedeutet, dass Benutzer und Anwendungen nur die minimal notwendigen Berechtigungen haben sollten, um ihre Aufgaben zu erfüllen. Die Anwendung dieses Prinzips auf Datenbank-Benutzerrollen und -Berechtigungen ist ein wichtiger Schritt zur Verhinderung von SQL Injection und zur Reduzierung der Auswirkungen potenzieller Angriffe.

Wenn Sie den Datenbankbenutzer für Ihre PHP-Anwendung einrichten, beschränken Sie seine Zugriffsrechte auf das für die Funktionalität der Anwendung erforderliche Minimum. Dies bedeutet, dem Benutzer nur die Berechtigungen zu erteilen, die für die Ausführung bestimmter Aufgaben erforderlich sind, wie z.B. SELECT, INSERT, UPDATE oder DELETE, auf den relevanten Tabellen.

Durch die Einschränkung der Berechtigungen des Datenbankbenutzers können Sie den potenziellen Schaden reduzieren, den ein Angreifer verursachen kann, wenn er es schafft, eine SQL Injection-Schwachstelle auszunutzen. Wenn die Anwendung beispielsweise nur Lesezugriff auf bestimmte Tabellen benötigt, sollte dem Datenbankbenutzer nur die SELECT-Berechtigung für diese Tabellen gewährt werden, um unautorisierten Änderungen oder Löschungen vorzubeugen.

Erhalten Sie Benachrichtigungen, wenn Ihre Website ausfällt
Verfügbarkeits- und Geschwindigkeits-Monitoring für Websites
Mehrstufiges Transaktions-Monitoring
SSL-Zertifikat-Status-Monitoring
Virus- und Malware-Monitoring
Statusseiten & Vorfallbenachrichtigungen
Ressourcen
Preise
Blog
Lernen
Fragen
Monitoring-Checkpoints
Kontakt
Sitemap
API-Dokumentation
Produkte
Uptime-Monitoring
Geschwindigkeits-Monitoring
Web-Transaktions-Monitoring
Real-User-Monitoring
SSL-Monitoring
Domain-Monitoring
Öffentliche Statusseite
Virus-Monitoring
Neu
Tools
Website-Verfügbarkeitstest
Verfügbarkeitsrechner
Cron-Ausdrucks-Generator
Cron-Ausdrucks-Beschreiber
Hex-zu-RGB-Konverter
RGB-zu-Hex-Konverter
Alle Tools anzeigen
Rechtliches
Datenschutzerklärung
Cookie-Richtlinie
Allgemeine Geschäftsbedingungen
DSGVO
© 2015-2026 Uptimia. Alle Rechte vorbehalten.
Deutsch Deutsch
English English
Deutsch Deutsch
Français Français
Português Português
Español Español
Italiano Italiano
Nederlands Nederlands