1';
と書いた後に好きなコードを書いて、最後に; #
と書けばヤられ放題。
良い子のみんなは 絶対に 真似しないでね。
- // ボタンが押されたら
- $( document ).on( "click", ".shit_button", function() {
- var id = $( this ).attr( "data-id" );
- var value = $( "#textbox" ).val();
- var SQL = "UPDATE `raped` SET `sucked_my_dick` = '" + value + "' WHERE `id` = '" + id + "'";
- $.ajax({
- url: "./query.php",
- type: "POST",
- dataType: "text",
- data: { query: SQL }
- }).done(function() {
- console.log( "やったぜ。" );
- });
- });
- /**
- * 良い子のみんなはクライアントサイドでSQL文を作らないように。
- * そしてサーバーサイドでもSQLインジェクションに気をつけるように。
- *
- * valueの値が、例えば・・・
- * 「1'; DROP DATABASE `firetruck`; #」
- * と書かれてしまったらDBごと消されて一環の終わりである。
- **/
使い方ヒント: 「これは臭う」という行を見付けたら、各行のをクリックしてマーキングしておきましょう(要Twitter OAuth認証)
migimatsuさん
それ、通報したら普通に逮捕される話題ですが、こんなところでカミングアウトしちゃって大丈夫ですか・・?
コメント投稿には、twitter認証が必要です。
Twitter認証
昔、某地方銀行の Web サイトに http://....../q.cgi?q="select xxx ...." なる URL を見つけて、 みんなでもてあそんだことがあります。drop init し放題 ^^;