Alla faccia della SQL Injection

Voi passereste mai come querystring ad una pagina la stringa SQL da effettuare per caricare i dati?

Io no, e probabilmente nessuno di voi. Oggi, grazie a <edit>, il blog di HTML.it, ho scoperto che un CMS in vendita (non sono riuscito a capire quale) usa questa strategia, e quindi gli url delle pagine spesso contengono robe del tipo

newssearch.asp?strSQL=SELECT+*+FROM+news+WHERE+(+lingua+%3D+'ENG')ORDER+BY+data+DESC

non oso immagina cosa potrebbe succedere se a qualcuno venisse in mente di mettere un bel "DROP TABLE NEWS" al posto del "SELECT..."

E se fate una ricerca su Google, con "allinurl:sql select from where" ne trovate di CMS che adottano questo accorgimento: io ne ho visti sia fatti in ASP Classic, che in PHP, che in CGI che in Perl.

«luglio»
domlunmarmergiovensab
24252627282930
1234567
891011121314
15161718192021
22232425262728
2930311234