Bobby Tables продолжает играть..

[dil]

Если кто не помнит, ещё в школе он играл так: https://xkcd.com/327/

А теперь вырос, и.. видать, он и зарегистрировал в Британии компанию под названием ; DROP TABLE "COMPANIES";–– LTD …

Via Bruсe Schneier

Оригинал этой записи в личном блоге.

Comments

[yostrov]

Cool!

[leo_sosnine]

в названии компании не хватает сингл квоты в начале, не сработает даже если инпут не валидируется

[kranov]

да, причем если задуматься там наверняка все у всех экранируется, потому что дофига всяких MC'Adam & sons , Adam's groshery

[ctapnep]

ну, тогда уж там и закрывающей скобки не хватает.

[dil]

А зачем там скобка?

[dil]

А может там тогда двойные кавычки используются, они в названиях вряд ли встречаются. Но и их тут тоже не хватает..

[dil]

Если б сработало, мы бы про эту компанию ничего не узнали ;)

[ctapnep]

закрыть предыдущий statement.
обычно в коде есть что-то вроде insert into tablename values (a,b,c, '$var');
для нормального sql injection на место $var надо поставить некую строку вида
bla-bla'); drop table tablename;

Ну, в общем, скобка там нужна полсе закрывающей кавычки.

[ctapnep]

ну мы ведь не знаем в сколько местах оно таки сработало. А тут, видимо, название таблицы не подошло. :)

[dil]

Блин, таки склероз - плохая болезнь.. Я чё-то забыл, что в insert values всегда в скобках, почему-то подумал только про update ... where colname='$var';

[dil]

Или тут разработчики грамотные, проэскейпили все значения, выданные пользователем. Или используют API, в котором оператор и значения не совмещаются в одной строке.

[ctapnep]

Это как-то слишком оптимистично звучит. Бывает, конечно, и так. Но реже.