Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 5/10/2006
En test viser, at et ud af ti databasebaserede websteder kan være sårbart over for såkaldt SQL-indsætning.SQL-indsætning går ud på, at man indtaster kommandoer i databasesproget SQL (Structured Query Language) i en URL eller en web-formular. Hvis webstedet er sårbart, bliver kommandoerne sendt videre til et bagvedliggende databasesystem, hvor de udføres. På den måde kan en angriber få adgang til fortrolige oplysninger eller køre programkode på serveren.
En mand ved navn Michael Sutton har forsøgt at finde ud af, hvor mange websteder der har sårbarheden. Til det formål udarbejdede han en Google-søgning, der fandt frem til websteder, som sandsynligvis byggede på database. Han fandt 1.000. Da han havde sorteret duplikater fra, var der 708 tilbage.
Når han sendte en SQL-kommando til dem, svarede 80 websteder med fejlmeddelelser, der så ud til at komme direkte fra databaseserveren. Det er et tegn på, at de kan være sårbare over for SQL-indsætning. Altså var 11,3 procent af serverne potentielt sårbare.