Aikido
Kostenlos starten
Kein CC erforderlich
Regeln

Wie man SELECT * in SQL vermeidet: Verhinderung von Datenlecks

Leistung

Veröffentlicht am:
November 24, 2025
Zuletzt aktualisiert am:
November 24, 2025
Regel
Vermeiden Sie SELECT * in SQL Abfragen.
SELECT * in Produktion Code macht Anwendungen
anfällig auf Schema Änderungen und verdunkelt Daten Abhängigkeiten.

Unterstützte Sprachen: 45+

Einführung

Verwendung von SELECT * in Produktionsabfragen ruft jede Spalte aus einer Tabelle ab, einschließlich der Spalten, die Ihre Anwendung nicht verwendet. Wenn sich Datenbankschemata weiterentwickeln und neue Spalten hinzugefügt werden (einschließlich sensibler Daten wie Passwörter oder PII), können Abfragen mit SELECT * automatisch und ohne Codeänderung abrufen. Dies schafft Sicherheitslücken und bricht Annahmen in Ihrer Anwendungslogik.

Warum das wichtig ist

Auswirkungen auf die Leistung: Der Abruf unnötiger Spalten erhöht die Ausführungszeit der Abfrage, die Größe der Netzwerkübertragung und den Speicherverbrauch. Eine Tabelle mit 50 Spalten, von denen Sie nur 5 benötigen, bedeutet, dass Sie 10x mehr Daten als nötig übertragen, was die Antwortzeiten verschlechtert und die Infrastrukturkosten erhöht.

Auswirkungen auf die Sicherheit: Neue Spalten, die zu Tabellen hinzugefügt werden (Audit-Felder, interne Flags, sensible Benutzerdaten), werden automatisch durch SELECT * Abfragen. Ihre API könnte anfangen, Passwort-Hashes, SSNs oder interne Geschäftsdaten durchzulassen, die nie für diesen Endpunkt vorgesehen waren.

Wartbarkeit des Codes: Wenn SELECT * Abfragen nach Schemaänderungen abbrechen, tritt der Fehler zur Laufzeit auf, nicht zur Kompilierzeit. Eine neue nicht-nullbare Spalte oder ein umbenanntes Feld führt zu Produktionsfehlern. Explizite Spaltenlisten machen Abhängigkeiten deutlich und brechen Builds ab, wenn sich Schemata inkompatibel ändern.

Code-Beispiele

❌ Nicht konform:

async function getUserProfile(userId) {
    const query = 'SELECT * FROM users WHERE id = ?';
    const [user] = await db.execute(query, [userId]);

    return {
        name: user.name,
        email: user.email,
        createdAt: user.created_at
    };
}

Warum das falsch ist: Damit werden alle Spalten abgerufen, einschließlich potenziell sensibler Felder wie password_hash, ssn, internal_notes oder deleted_at. Wenn das Schema wächst, wird diese Abfrage langsamer und gibt mehr Daten preis, obwohl die Anwendung nur drei Felder verwendet.

✅ Konform:

async function getUserProfile(userId) {
    const query = `
        SELECT name, email, created_at
        FROM users
        WHERE id = ?
    `;
    const [user] = await db.execute(query, [userId]);

    return {
        name: user.name,
        email: user.email,
        createdAt: user.created_at
    };
}

Schlussfolgerung

Geben Sie in SQL-Abfragen immer explizite Spaltenlisten an. Dies verhindert Datenlecks, verbessert die Leistung und macht die Abhängigkeiten zwischen Code und Schema deutlich. Die geringen Vorlaufkosten für die Eingabe von Spaltennamen verhindern ganze Klassen von Sicherheits- und Leistungsproblemen.

Springen Sie zu:
Text Link

Wenden Sie diese Regel auf Ihr Repo an

Kostenlos ausprobieren
Keine Karte erforderlich
Demo buchen
Teilen:

www.aikido.dev/code-quality-rules/how-to-avoid-select-in-sql-preventing-data-leaks

FAQs

Haben Sie Fragen?

Wann ist SELECT * akzeptabel?

Nur in Ad-hoc-Abfragen während der Entwicklung oder beim Debugging, niemals im Produktionscode. Für Datenmigrationsskripte oder einmalige Berichte, bei denen Sie wirklich alle Spalten benötigen, ist SELECT * sinnvoll. Für Anwendungscode sollten Sie immer explizite Spaltenlisten verwenden, auch wenn Sie derzeit alle Spalten benötigen, da Schemaänderungen unvermeidlich sind.

Was ist mit ORMs, die SELECT *-Abfragen erzeugen?

Configure your ORM to select specific fields. Most ORMs (Sequelize, TypeORM, Prisma, SQLAlchemy) support field selection: User.findOne({ attributes: ['name', 'email'] }) or prisma.user.findUnique({ select: { name: true, email: true } }). Always use these options to control what data is retrieved.

Wirkt sich SELECT * erheblich auf die Leistung der Datenbank aus?

Ja, insbesondere bei breiten Tabellen. Datenbanken müssen mehr Seiten von der Festplatte lesen, Indizes können nicht so effektiv genutzt werden, und Abfrageergebnissätze verbrauchen mehr Speicher im Pufferpool der Datenbank. Die Netzübertragungszeit steigt proportional zur Datengröße. Bei Tabellen mit TEXT- oder BLOB-Spalten können die Auswirkungen gravierend sein.

Wie gehe ich mit Abfragen um, bei denen ich die meisten Spalten benötige?

Führen Sie sie explizit auf. Verwenden Sie die Autovervollständigung Ihrer IDE oder fragen Sie das information_schema ab, um die Spaltenliste zu erstellen. Einige Teams erstellen Ansichtsobjekte oder verwenden Datenbankansichten, die genau die Spalten definieren, die für jeden Anwendungsfall benötigt werden. Die Klarheit und Sicherheit von expliziten Listen überwiegen die geringfügigen Unannehmlichkeiten.

Wie erkenne ich SELECT * in meiner Codebasis?

Suchen Sie nach dem Muster SELECT * (Groß- und Kleinschreibung wird nicht berücksichtigt) in Ihrer Codebasis. Viele statische Analysewerkzeuge und Datenbankabfrage-Analysatoren können diese erkennen. Lehnen Sie bei der Codeüberprüfung alle PR ab, die SELECT * im Anwendungscode enthalten. Einige Teams verwenden Pre-Commit-Hooks oder CI-Checks, um diese Muster automatisch zu erkennen und zu blockieren.

Verwandte Regeln

November 28, 2025
-
Produkt- und Unternehmens-Updates

SCA Überall: Scannen und Reparieren von Open-Source-Abhängigkeiten in Ihrer IDE

Bringen Sie den kompletten SCA-Workflow in Ihre IDE mit In-Editor-Scanning und AutoFix. Erkennen Sie verwundbare Pakete, überprüfen Sie CVEs und wenden Sie sichere Upgrades an, ohne Ihren Entwicklungsworkflow zu verlassen.

#SCA

#autofix

November 28, 2025
-
Produkt- und Unternehmens-Updates

Safe Chain erzwingt jetzt ein Mindestalter der Pakete vor der Installation

Safe Chain erzwingt jetzt ein Mindestalter der Pakete von 24 Stunden, um Angreifer daran zu hindern, neue Versionen als Einfallstor zu nutzen. Blockiert Malware frühzeitig und greift auf sichere Versionen zurück.

#Malware

#SCA

November 25, 2025
-
Schwachstellen und Bedrohungen

Shai Hulud-Angriffe bestehen durch GitHub-Aktionsschwachstellen fort

Die Bedrohungsakteure von Shai Hulud nutzen die Schwachstellen von GitHub Actions in einer laufenden Kampagne aus. Entdecken Sie die Auswirkungen und die empfohlenen Sicherheitsmaßnahmen.

#Malware

#Schwachstellen

Starten Sie kostenlos

Sichern Sie Ihren Code, Cloud und die Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell  automatisch.

Scannen starten
Kein CC erforderlich
Demo buchen
Keine Kreditkarte erforderlich | Scanergebnisse in 32 Sekunden.