DevOps

Sicherheits-Basics für Web-Apps

Die 5 häufigsten Sicherheitslücken vermeiden

Die meisten gehackten Web-Apps haben keine exotischen Schwachstellen — sie haben die Basics nicht gemacht. Hier sind die 5 wichtigsten Sicherheitsregeln.

Pro-Tip — Der schnelle Weg
Lass Claude Code dein Projekt auf Sicherheitslücken scannen. Sag einfach: 'Prüfe meinen Code auf SQL Injection, XSS und unsichere Dependencies.'
Seite 1
1

Dependencies aktuell halten

Veraltete Packages sind das häufigste Einfallstor. Regelmäßig updaten!

# Sicherheitslücken prüfen
npm audit


# Alles updaten
npm update


# Oder mit Claude Code:
# "Prüfe meine package.json auf bekannte Schwachstellen"
2

Input validieren

Traue KEINER Eingabe vom User. Alles validieren — serverseitig, nicht nur im Frontend.

// Mit Zod validieren
import { z } from 'zod';


const userSchema = z.object({
 email: z.string().email(),
 name: z.string().min(1).max(100),
 age: z.number().int().positive(),
});


const result = userSchema.safeParse(req.body);
3

SQL Injection verhindern

Niemals User-Input direkt in SQL-Queries. Immer Parameterized Queries oder ein ORM nutzen.

// FALSCH — SQL Injection möglich:
db.query(`SELECT * FROM users WHERE id = ${userId}`);


// RICHTIG — parameterisiert:
db.query("SELECT * FROM users WHERE id = $1", [userId]);
4

HTTPS erzwingen

Kein HTTP, nur HTTPS. Caddy macht das automatisch, bei Nginx brauchst du Certbot.

# Security Headers setzen
# In Next.js next.config.js:
headers: [
 { key: 'X-Frame-Options', value: 'DENY' },
 { key: 'X-Content-Type-Options', value: 'nosniff' },
 { key: 'Strict-Transport-Security', value: 'max-age=31536000' },
]
5

Rate Limiting einbauen

Schütze deine API vor Brute-Force und Spam mit Rate Limiting.

// Express/Next.js mit upstash ratelimit
import { Ratelimit } from '@upstash/ratelimit';


const ratelimit = new Ratelimit({
 redis: Redis.fromEnv(),
 limiter: Ratelimit.slidingWindow(10, '60 s'),
});
Seite 2
Warum das funktioniert
  • 80% aller Hacks nutzen bekannte Schwachstellen in veralteten Packages
  • Input-Validierung verhindert die häufigsten Angriffe wie SQL Injection und XSS
  • Security Headers kosten nichts und schützen vor ganzen Angriffskategorien
Tipps
  • npm audit fix --force kann Breaking Changes verursachen — vorher prüfen
  • Passwörter immer hashen (bcrypt), nie als Klartext speichern
  • CORS richtig konfigurieren — nicht einfach alles erlauben
  • Regelmäßig Logs prüfen auf verdächtige Zugriffsmuster
Seite 3
Bereit für den nächsten Schritt?

KIWorld VibeCoding Masterclass

Du willst nicht nur einzelne Tools einrichten, sondern wirklich lernen wie du mit KI komplette Apps, Websites und SaaS-Produkte baust? Über 700 Videos — von Anfänger bis Fortgeschritten — in jedem Bereich. Von der Idee bis zum fertigen Produkt, ohne eine Zeile Code selbst zu schreiben.

Jetzt Masterclass ansehen