Schutz vor SQL Injection in ABAP Code. Wer kann helfen?

Alles rund um die Sprache ABAP®: Funktionsbausteine, Listen, ALV
15 Beiträge • Seite 1 von 1
15 Beiträge Seite 1 von 1

Schutz vor SQL Injection in ABAP Code. Wer kann helfen?

Beitrag von aljon.ka (ForumUser / 10 / 3 / 0 ) »
Hallo zusammen!

Ich habe vor kurzem auf das Problem mit dynamischen SQL Anfragen gestoßen. Brauche eure Meinung! Wäre super, wenn ihr eure Meinung dazu sagt!
Online Befragung zum Thema http://de.surveymonkey.com/s/VC9CBVM Dauert weniger als 1 Minute!

Fragen:
-Are you an experienced SAP ABAP developer?
-Have you ever created the dynamic SQL statements within ABAP program code (open SQL)?
-In case you have created the dynamic SQL statements before, do you always use techniques that can help to avoid SQL injections (e.g. checks for dynamic SQL statements)?
-Do you think that securing of the dynamic SQL statements within ABAP program code is important?

Danke im Voraus für die Antworten! :)
Zuletzt geändert von aljon.ka am 17.02.2013 11:21, insgesamt 5-mal geändert.

gesponsert
Stellenangebote auf ABAPforum.com schalten
kostenfrei für Ausbildungsberufe und Werksstudenten


Re: Schutz vor SQL Injection in ABAP Code

Beitrag von waltersen (Specialist / 143 / 0 / 14 ) »
Hallo,

ich habe jetzt keine Zeit, die Umfrage zu machen. Es gab aber auf den letzten SAP Technologietagen (DSAG) einen Vortrag dazu. Ferner gibt es Powerpoints von Virtual Forge dazu (habe solche im Netz gefunden, musst halt googeln).

Da standen auch Vermeidungsstrategien drin.

Gruß

Re: Schutz vor SQL Injection in ABAP Code

Beitrag von aljon.ka (ForumUser / 10 / 3 / 0 ) »
Hi Waltersen!

Es sind nur 4 Fragen... man braucht weniger als 1 minute :-)

Gruß :-)

Re: Schutz vor SQL Injection in ABAP Code

Beitrag von waltersen (Specialist / 143 / 0 / 14 ) »
Hallo,

also ich habe die Umfrage gemacht. Das die Thematik wichtig ist, zeigt ja die Behandlung auf so was wie DSAG Thementagen. Ferner gibt es eine ISSECO Zertifizierung (Sicherheit), in dem Buch zum Kurs wird das Thema behandelt (generell).

Ich bin Tester, für Tester ist es interessant, weil ggf. eine Einschränkung auf Buchungskreise oder ähnliches unterlaufen werden kann. Meiner Meinung nach ein interessantes, fortgeschrittenes Thema für Leute die Codereview machen, für Tester, für Securitybeauftragte und für Revisionisten.

Gruß

Folgende Benutzer bedankten sich beim Autor waltersen für den Beitrag:
aljon.ka


Re: Schutz vor SQL Injection in ABAP Code. Wer kann helfen?

Beitrag von aljon.ka (ForumUser / 10 / 3 / 0 ) »
Bis jetzt haben leider nur 13 Personen teilgenommen... :( Brauche ungefähr 50 Teilnehmer... Es dauert wirklich weniger als 1 Minute... Danke!

Re: Schutz vor SQL Injection in ABAP Code. Wer kann helfen?

Beitrag von a-dead-trousers (Top Expert / 4395 / 223 / 1182 ) »
aljon.ka hat geschrieben:Brauche ungefähr 50 Teilnehmer...
Huiii ich glaub nicht, dass hier im Forum soviele aktive User sind.

Ich hab bereits abgestimmt. Wobei ich die Frage drei nicht mit Sicherheit beantworten konnte. Sind bei der SELECT (...) FROM (...) ... Syntax nicht insofern Checks drinnen das man keine Code Injection ala '; DROP TABLE T000; ' einfügen kann.
Oder geht es hier vielmehr um die EXEC-SQL Variante?
Oder doch um die CL_SQL_* Klassen?

lg ADT

Folgende Benutzer bedankten sich beim Autor a-dead-trousers für den Beitrag:
aljon.ka

Theory is when you know something, but it doesn't work.
Practice is when something works, but you don't know why.
Programmers combine theory and practice: Nothing works and they don't know why.

ECC: 6.18
Basis: 7.50

Re: Schutz vor SQL Injection in ABAP Code. Wer kann helfen?

Beitrag von aljon.ka (ForumUser / 10 / 3 / 0 ) »
@a-dead-trousers: Danke für die Abstimmung! Ich habe schon gemerkt, dass trotz vieler Zugriffen, es immernoch zu wenig Antworten gibt...
Du hast Recht, dass bei den OSQL Anfragen so was wie DROP TABLE nicht funktioniert (zumindest ich habe es nicht geschafft). Jedoch so was wie ' OR ID = '% problemlos geht, wenn man keine Checks macht. Natürlich kann man damit nur bestimmte Daten anschauen... Es geht hier um die Open SQL in der ersten Stelle (nicht um die EXEC-SQL oder ADBC Variante).
Ich hoffe, dass es mehr Leute abstimmen und in der Diskussion teilnehmen. :-)

Re: Schutz vor SQL Injection in ABAP Code. Wer kann helfen?

Beitrag von GastX (Specialist / 277 / 4 / 18 ) »
Ok, die Umfrage ist wirklich extrem schnell beantwortet.
Allerdings hättest Du noch ein Freitextfeld für Kommentare vorsehen sollen.
Bei dynamischem SQL ist nämlich noch interessant, wie das im Detail passiert:

Werden Usereingaben in Freitextfeldern in die Bedingungen mit eingebaut, ist es hingegen natürlich wichtig, defensiv vorzugehen (gibt mehrere Herangehensweisen).
Wird aber der Select nur anhand von Checkboxen zusammengebaut oder anhand anderer Entscheidungskriterien, ohne Freitext direkt zu übernehmen, ist das zwar ein dynamischer SQL-Zugriff, SQL-Injection sollte aber keine Rolle spielen.

Folgende Benutzer bedankten sich beim Autor GastX für den Beitrag:
aljon.ka


Re: Schutz vor SQL Injection in ABAP Code. Wer kann helfen?

Beitrag von GastX (Specialist / 277 / 4 / 18 ) »
<gelöscht wg. Doppelpost>

Re: Schutz vor SQL Injection in ABAP Code. Wer kann helfen?

Beitrag von aljon.ka (ForumUser / 10 / 3 / 0 ) »
@GastX: Danke für Kommentar! Du hast Recht, dass mit Checkbox das nicht passieren kann. Ich bin jetzt auf das weitere Problem gestoßen, was nun zu machen ist, wenn das Flag "Log data changes" bei der Customizing Tabelle nicht gesetzt ist und . Die erscheint nicht in der TA SCU3. Wie kann man dann die Änderungen tracen? Hm... Ich kenne mich da gar nicht aus.

Re: Schutz vor SQL Injection in ABAP Code. Wer kann helfen?

Beitrag von MarkusSchumacher (ForumUser / 1 / 0 / 0 ) »
Hi zusammen,

was hat den die Umfrage eigentlich ergeben (die geht ja wirklich schnell :-)).

Einer unserer Vorträge bzw Artikel ist zB hier zu finden:
http://virtualforge.com/tl_files/Theme/ ... TB2011.pdf
http://www.virtualforge.com/tl_files/Th ... 18-122.pdf

Und die SAP Note 1520356 sollte man auch mal gelesen haben!

Viele Grüße,

Markus Schumacher

Re: Schutz vor SQL Injection in ABAP Code. Wer kann helfen?

Beitrag von aljon.ka (ForumUser / 10 / 3 / 0 ) »
@Markus Schumacher: Danke für die Teilnahme. Ich habe bereits die Präsentation von Virtual Forge im Internet entdeckt. Die ist sehr informativ :-) Leider haben bis jetzt nur 33 Personen teilgenommen. Ich werde wahrscheinlich noch auf SAP SDN etwas aktiver fragen... Gerne teile ich die vorläufige Ergebnisse mit (wobei mich vor allem diejenige interessieren, die bereits dynamische SQL Anfragen erstellt haben):
- 20 Personen haben bereits dynamische SQL Anfragen erstellt.
- 16 davon haben keine Schutzmechanismen verwendet. Hier lässt sich vermuten anhand bestimmten Kommentaren, dass es Schutz entweder nicht nötig war, da kein Feld für Benutzerangaben gab, oder was am interessantesten ist - man sieht kein Risiko dabei (9 Personen davon)...

Ansonsten 18 Personen denken, dass es wichtig ist, die Absichrung zu verwenden. Es ist schon mal positiv! :)
ICH HOFFE, ES WERDEN NOCH MEHR LEUTE DARAN TEILNEHMEN :)

Re: Schutz vor SQL Injection in ABAP Code. Wer kann helfen?

Beitrag von black_adept (Top Expert / 4087 / 126 / 940 ) »
Wofür brauchst du die Umfrage eigentlich?
Und hast du für einen Schutzmechanismus gesorgt, der verhindert, dass ein User mehrfach deine Umfrage ausfüllt?
live long and prosper
Stefan Schmöcker

email: stefan@schmoecker.de

Re: Schutz vor SQL Injection in ABAP Code. Wer kann helfen?

Beitrag von aljon.ka (ForumUser / 10 / 3 / 0 ) »
@black_adept: Es wird womöglich eine interne Präsentation geben. Dafür suche ich nach mehr Informationen :-) Und die Meinung der Experten, wie Dich, ist mir dabei sehr wichtig

Und was den Schutz bei der Umfrage, so verlasse ich mich auf SurveyMonkey :wink:

Re: Schutz vor SQL Injection in ABAP Code. Wer kann helfen?

Beitrag von aljon.ka (ForumUser / 10 / 3 / 0 ) »
Hallo zusammen,

es haben bereits 43 Menschen teilgenommen! Danke an alle Teilnehmer! Leider fehlen mir noch 7 Meinungen... Ich hoffe, dass ihr mir helfen könnt :-)

Danke!

Seite 1 von 1

Vergleichbare Themen

4
Antw.
3344
Views
PAP aus ABAP-Code
von BesenWesen » 21.06.2006 09:49 • Verfasst in ABAP® Core
1
Antw.
1797
Views
Testen von ABAP Code
von DavidHenn » 07.07.2011 10:27 • Verfasst in ABAP® Core
67
Antw.
10720
Views
ABAP Clean Code
von nickname8 » 06.05.2019 08:06 • Verfasst in ABAP® Core
0
Antw.
1691
Views
RSA-Algorithmus im ABAP-Code
von stefan76 » 05.10.2006 17:31 • Verfasst in ABAP® Core
0
Antw.
1523
Views
ABAP-Code im Info-Set
von helwie » 22.09.2006 23:26 • Verfasst in ABAP® Core

Aktuelle Forenbeiträge

Zeilenumbrüche ersetzen
vor 3 Stunden von rob_abc 4 / 31
Dialog-Container mit Toolbar/Status
vor 23 Stunden von tar gelöst 19 / 2091
SAP Trial Version für SAP Fiori
Gestern von tar 2 / 1446

Newsletter Anmeldung

Keine Beiträge verpassen! Wöchentlich versenden wir lesenwerte Beiträge aus unserer Community.
Die letzte Ausgabe findest du hier.
Details zum Versandverfahren und zu Ihren Widerrufsmöglichkeiten findest du in unserer Datenschutzerklärung.

Aktuelle Forenbeiträge

Zeilenumbrüche ersetzen
vor 3 Stunden von rob_abc 4 / 31
Dialog-Container mit Toolbar/Status
vor 23 Stunden von tar gelöst 19 / 2091
SAP Trial Version für SAP Fiori
Gestern von tar 2 / 1446

Unbeantwortete Forenbeiträge

Daten an Tabelle binden
Gestern von Bright4.5 1 / 510
aRFC im OO-Kontext
vor 4 Wochen von ralf.wenzel 1 / 2145
Hilfe bei SWEC/SWE2
letzen Monat von retsch 1 / 8741