Hallo, wir möchten demnächst eine Webapplikation auf einem Tomcat deployen. U.a. soll interessierten Wissenschaftlern hier die Möglichkeit gegeben werden, zu einem bestimmten wissenschaftl. Projekt selbst Daten über eine Weboberfläche in eine Datenbank einzugeben. Bei mir klingeln da die Alarmglocken wg. möglicher SQL-Injection. GreenSQL scheint da ein hilfreicher Schutz zu sein. Hat jemand Erfahrungen damit ? Der Tomcat (6) läuft auf einem SLES 11 SP1, die GreenSQL wahrscheinlich auch. Dankbar für jeden Hinweis. Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de phone: +49 89 3187 1241 fax: +49 89 3187 3826 http://www.helmholtz-muenchen.de/idg Führung bedeutet, die Anderen groß zu machen und sich selbst klein Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Freitag, 13. Mai 2011 schrieb Lentes, Bernd:
Hallo,
wir möchten demnächst eine Webapplikation auf einem Tomcat deployen. U.a. soll interessierten Wissenschaftlern hier die Möglichkeit gegeben werden, zu einem bestimmten wissenschaftl. Projekt selbst Daten über eine Weboberfläche in eine Datenbank einzugeben. Bei mir klingeln da die Alarmglocken wg. möglicher SQL-Injection. GreenSQL scheint da ein hilfreicher Schutz zu sein. Hat jemand Erfahrungen damit ? Der Tomcat (6) läuft auf einem SLES 11 SP1, die GreenSQL wahrscheinlich auch.
Ich kenne die Webanwendung nicht, aber eine in Java geschrieben Webanwendung, die die Datenbank über PreparedStatements anspricht ist vor SQL-Injection geschützt und ein Security-Proxy dazwischen unnötig. Um das zu beurteilen müsste man aber die Anwendung kennen. -- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ | http://packman.links2linux.de/ Manfred | http://www.knightsoft-net.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Manfred Tremmel schrieb:
Am Freitag, 13. Mai 2011 schrieb Lentes, Bernd:
Hallo,
wir möchten demnächst eine Webapplikation auf einem Tomcat deployen. U.a. soll interessierten Wissenschaftlern hier die Möglichkeit gegeben werden, zu einem bestimmten wissenschaftl. Projekt selbst Daten über eine Weboberfläche in eine Datenbank einzugeben. Bei mir klingeln da die Alarmglocken wg. möglicher SQL-Injection. GreenSQL scheint da ein hilfreicher Schutz zu sein. Hat jemand Erfahrungen damit ? Der Tomcat (6) läuft auf einem SLES 11 SP1, die GreenSQL wahrscheinlich auch.
Ich kenne die Webanwendung nicht, aber eine in Java geschrieben Webanwendung, die die Datenbank über PreparedStatements anspricht ist vor SQL-Injection geschützt und ein Security-Proxy dazwischen unnötig. Um das zu beurteilen müsste man aber die Anwendung kennen.
Ich weiß nicht, ob die Anwendung PreparedStatements benutzt. Muss ich mit dem Entwickler abklären. Auf jeden Fall gibt es in den zugehörigen Webformularen Felder, in die beliebiger Text eingegeben werden kann. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Lentes, Bernd
-
Manfred Tremmel