Aikido
Kostenlos starten
Ohne Kreditkarte
Regeln

Wie man SELECT * in SQL vermeidet: Datenlecks verhindern

Performance

Veröffentlicht am:
5. Dezember 2025
Zuletzt aktualisiert am:
4. Dezember 2025
Regel
Vermeiden Sie SELECT * in SQL Abfragen.
SELECT * in Produktion Code macht Anwendungen
anfällig auf Schema Änderungen und verdunkelt Daten Abhängigkeiten.

Unterstützte Sprachen: 45+

Einleitung

Nutzung SELECT * in Produktionsabfragen ruft jede Spalte aus einer Tabelle ab, einschließlich Spalten, die Ihre Anwendung nicht verwendet. Wenn sich Datenbankschemata entwickeln und neue Spalten hinzugefügt werden (einschließlich sensibler Daten wie Passwörter oder PII), Abfragen, die verwendet werden SELECT * beginnen automatisch, diese ohne Codeänderungen abzurufen. Dies schafft Sicherheitslücken und bricht Annahmen in Ihrer Anwendungslogik.

Warum es wichtig ist

Leistungsauswirkungen: Das Abrufen unnötiger Spalten erhöht die Abfrageausführungszeit, die Netzwerkübertragungsgröße und den Speicherverbrauch. Eine Tabelle mit 50 Spalten, von denen Sie nur 5 benötigen, bedeutet, dass Sie die 10-fache Datenmenge des Notwendigen übertragen, was die Antwortzeiten verschlechtert und die Infrastrukturkosten erhöht.

Sicherheitsimplikationen: Neue Spalten, die zu Tabellen hinzugefügt werden (Audit-Felder, interne Flags, sensible Benutzerdaten), werden automatisch über SELECT * Abfragen. Ihre API könnte beginnen, Passworthashes, SSNs oder interne Geschäftsdaten preiszugeben, die nie für diesen Endpunkt vorgesehen waren.

Code-Wartbarkeit: Wann SELECT * Abfragen brechen nach Schemaänderungen, der Fehler tritt zur Laufzeit auf, nicht zur Kompilierzeit. Eine neue nicht-nullable Spalte oder ein umbenanntes Feld verursacht Produktionsfehler. Explizite Spaltenlisten machen Abhängigkeiten klar und unterbrechen Builds, wenn Schemata inkompatibel geändert werden.

Code-Beispiele

❌ Nicht konform:

async function getUserProfile(userId) {
    const query = 'SELECT * FROM users WHERE id = ?';
    const [user] = await db.execute(query, [userId]);

    return {
        name: user.name,
        email: user.email,
        createdAt: user.created_at
    };
}

Warum es falsch ist: Dies ruft alle Spalten ab, einschließlich potenziell sensibler Felder wie password_hash, ssn, internal_notes oder deleted_at. Wenn das Schema wächst, wird diese Abfrage langsamer und legt mehr Daten offen, obwohl die Anwendung nur drei Felder verwendet.

✅ Konform:

async function getUserProfile(userId) {
    const query = `
        SELECT name, email, created_at
        FROM users
        WHERE id = ?
    `;
    const [user] = await db.execute(query, [userId]);

    return {
        name: user.name,
        email: user.email,
        createdAt: user.created_at
    };
}

Fazit

Geben Sie in SQL-Abfragen immer explizite Spaltenlisten an. Dies verhindert Datenlecks, verbessert die Leistung und verdeutlicht Abhängigkeiten zwischen Code und Schema. Der geringe anfängliche Aufwand für die Eingabe von Spaltennamen verhindert ganze Klassen von Sicherheits- und Leistungsproblemen.

Springe zu:
Textlink
<div class="toc-wrap"><a class="toc" name=":zap:Part I: Sales Cycle with Potential Lead" fs-toc-element="link"></a></div>

Wenden Sie diese Regel in Ihrem Repo an

Kostenlos testen
Keine Karte erforderlich
Demo buchen
Teilen:

www.aikido.dev/code-quality-rules/wie-man-select-in-sql-vermeidet-datenlecks-verhindern

FAQs

Haben Sie Fragen?

Wann ist SELECT * akzeptabel?

Nur in Ad-hoc-Abfragen während der Entwicklung oder beim Debugging, niemals im Produktionscode. Für Datenmigrationsskripte oder einmalige Berichte, bei denen Sie tatsächlich alle Spalten benötigen, ist SELECT * sinnvoll. Für Anwendungscode sollten Sie immer explizite Spaltenlisten verwenden, auch wenn Sie derzeit alle Spalten benötigen, da Schemaänderungen unvermeidlich sind.

Was ist mit ORMs, die SELECT *-Abfragen generieren?

Configure your ORM to select specific fields. Most ORMs (Sequelize, TypeORM, Prisma, SQLAlchemy) support field selection: User.findOne({ attributes: ['name', 'email'] }) or prisma.user.findUnique({ select: { name: true, email: true } }). Always use these options to control what data is retrieved.

Beeinträchtigt SELECT * die Datenbank-Performance erheblich?

Ja, besonders bei breiten Tabellen. Datenbanken müssen mehr Seiten von der Festplatte lesen, Indizes können nicht so effektiv genutzt werden, und Abfrageergebnisse verbrauchen mehr Speicher im Datenbank-Buffer-Pool. Die Netzwerkübertragungszeit steigt proportional zur Datengröße. Bei Tabellen mit TEXT- oder BLOB-Spalten kann die Auswirkung gravierend sein.

Wie gehe ich mit Abfragen um, bei denen ich die meisten Spalten benötige?

Listen Sie sie explizit auf. Verwenden Sie die Auto-Vervollständigung Ihrer IDE oder fragen Sie das information_schema ab, um die Spaltenliste zu generieren. Einige Teams erstellen View-Objekte oder verwenden Datenbank-Views, die die exakten Spalten definieren, die für jeden Anwendungsfall benötigt werden. Die Klarheit und Sicherheit expliziter Listen überwiegt die geringfügigen Unannehmlichkeiten.

Wie erkenne ich SELECT * in meiner Codebasis?

Suchen Sie in Ihrer Codebasis nach dem Muster SELECT * (Groß-/Kleinschreibung ignorierend). Viele statische Analyse-Tools und Datenbankabfrage-Analysatoren können diese kennzeichnen. Lehnt während der Code-Überprüfung jeden PR ab, der SELECT * im Anwendungscode enthält. Einige Teams verwenden Pre-Commit-Hooks oder CI-Checks, um diese Muster automatisch zu erkennen und zu blockieren.

Verwandte Regeln

13. Januar 2026
„•“
Produkt- & Unternehmens-Updates

Von „No Bullsh*t Security“ zu 1 Milliarde Dollar: Wir haben gerade unsere Serie-B-Finanzierungsrunde in Höhe von 60 Millionen Dollar abgeschlossen.

Aikido eine Serie-B-Finanzierung in Höhe von 60 Millionen US-Dollar bei einer Bewertung von 1 Milliarde US-Dollar Aikido und treibt damit seine Vision von selbstsichernder Software und kontinuierlichen Penetrationstests voran.

Keine Elemente gefunden.
8. Januar 2026
„•“
Schwachstellen & Bedrohungen

Kritische Sicherheitslücke in n8n ermöglicht nicht authentifizierte Remote-Codeausführung (CVE-2026-21858)

Eine kritische Sicherheitslücke in n8n (CVE-2026-21858) ermöglicht die Ausführung von nicht authentifiziertem Remote-Code auf selbst gehosteten Instanzen. Erfahren Sie, wer davon betroffen ist und wie Sie Abhilfe schaffen können.

#Schwachstellen

6. Januar 2026
„•“
Aikido

KI-gesteuerter Pentest von Coolify: Sieben CVEs identifiziert

KI-gesteuerte Penetrationstests von Coolify identifizierten sieben CVEs, darunter Schwachstellen für Privilegieneskalation und Remote Code Execution. Die Ergebnisse wurden verantwortungsvoll offengelegt und behoben.

#KI-Penetrationstests

Werden Sie jetzt sicher.

Sichern Sie Ihren Code, Ihre Cloud und Ihre Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell und automatisch.

Scanning starten
Ohne Kreditkarte
Demo buchen
Keine Kreditkarte erforderlich | Scan-Ergebnisse in 32 Sek.