Veränderung von Daten

Auf einem Webserver befindet sich das Script search.cgi zum Anzeigen von Beiträgen. Das Script akzeptiert den Parameter „ID“, welcher später Bestandteil der SQL-Abfrage ist. Folgende Tabelle soll dies illustrieren: Erwarteter Aufruf Aufruf http://webserver/cgi-bin/search.cgi?ID=42 Erzeugtes SQL SELECT author, subject, text FROM artikel WHERE ID=42; SQL-Injection Aufruf http://webserver/cgibin/search.cgi?ID=42;UPDATE+USER+SET+TYPE="admin"+WHERE+ID=23 Erzeugtes SQL SELECT author, subject, text FROM artikel WHERE ID=42; UPDATE USER SET TYPE="admin" WHERE ID=23; Dem Script wird also ein zweiter SQL-Befehl untergeschoben, der die Benutzertabelle verändert.