Voi passereste mai come querystring ad una pagina la stringa SQL da effettuare per caricare i dati?
Io no, e probabilmente nessuno di voi. Oggi, grazie a <edit>, il blog di HTML.it, ho scoperto che un CMS in vendita (non sono riuscito a capire quale) usa questa strategia, e quindi gli url delle pagine spesso contengono robe del tipo
newssearch.asp?strSQL=SELECT+*+FROM+news+WHERE+(+lingua+%3D+'ENG')ORDER+BY+data+DESC
non oso immagina cosa potrebbe succedere se a qualcuno venisse in mente di mettere un bel "DROP TABLE NEWS" al posto del "SELECT..."
E se fate una ricerca su Google, con "allinurl:sql select from where" ne trovate di CMS che adottano questo accorgimento: io ne ho visti sia fatti in ASP Classic, che in PHP, che in CGI che in Perl.
posted @ martedì 17 luglio 2007 14:50