y59JP 2016-06-22 13:34:09

[JavaScript] SQL構文作っちゃったぜ。

投稿者からのアピールポイント

1';と書いた後に好きなコードを書いて、最後に; #と書けばヤられ放題。

良い子のみんなは 絶対に 真似しないでね。

  1. // ボタンが押されたら

  2. $( document ).on( "click", ".shit_button", function() {

  3. var id = $( this ).attr( "data-id" );

  4. var value = $( "#textbox" ).val();


  5. var SQL = "UPDATE `raped` SET `sucked_my_dick` = '" + value + "' WHERE `id` = '" + id + "'";


  6. $.ajax({

  7. url: "./query.php",

  8. type: "POST",

  9. dataType: "text",

  10. data: { query: SQL }

  11. }).done(function() {

  12. console.log( "やったぜ。" );

  13. });

  14. });

  15.  

  16. /**

  17. * 良い子のみんなはクライアントサイドでSQL文を作らないように。

  18. * そしてサーバーサイドでもSQLインジェクションに気をつけるように。

  19. *

  20. * valueの値が、例えば・・・

  21. * 「1'; DROP DATABASE `firetruck`; #」

  22. * と書かれてしまったらDBごと消されて一環の終わりである。

  23. **/

使い方ヒント: 「これは臭う」という行を見付けたら、各行のsmellをクリックしてマーキングしておきましょう(要Twitter OAuth認証)

コメント(2)

#1 migimatsu 2017-02-01 05:59:39  

昔、某地方銀行の Web サイトに http://....../q.cgi?q="select xxx ...." なる URL を見つけて、 みんなでもてあそんだことがあります。drop init し放題 ^^;

#2 InternalServerE 2017-04-08 20:17:48  

migimatsuさん
それ、通報したら普通に逮捕される話題ですが、こんなところでカミングアウトしちゃって大丈夫ですか・・?

コメント投稿には、twitter認証が必要です。

Twitter認証

このウンコードに臭った人は、こちらのウンコードにも臭ってます

* [PHP] 見た目はコメント、中身は未定義

シンタックスハイライトに騙されてしまいま...

<!-- 未定義なのでコメントアウト
<?php undefined_func...

鑑賞する »

* [C#] 無駄過ぎるSwitch文

大学の同期のコード こんな回り道をしな...

//落第しているかの判定
bool failFlg = false;
//も...

鑑賞する »

* [PHP] ログイン処理

もう突っ込みどころが多すぎで、卒倒したソ...

<?php


/****************************...

鑑賞する »