y59JP
2016-06-22 13:34:09
[JavaScript]
SQL構文作っちゃったぜ。
投稿者からのアピールポイント
1';と書いた後に好きなコードを書いて、最後に; #と書けばヤられ放題。
良い子のみんなは 絶対に 真似しないでね。
// ボタンが押されたら
$( document ).on( "click", ".shit_button", function() {
var id = $( this ).attr( "data-id" );
var value = $( "#textbox" ).val();
var SQL = "UPDATE `raped` SET `sucked_my_dick` = '" + value + "' WHERE `id` = '" + id + "'";
$.ajax({
url: "./query.php",
type: "POST",
dataType: "text",
data: { query: SQL }
}).done(function() {
console.log( "やったぜ。" );
});
});
/**
* 良い子のみんなはクライアントサイドでSQL文を作らないように。
* そしてサーバーサイドでもSQLインジェクションに気をつけるように。
*
* valueの値が、例えば・・・
* 「1'; DROP DATABASE `firetruck`; #」
* と書かれてしまったらDBごと消されて一環の終わりである。
**/
使い方ヒント: 「これは臭う」という行を見付けたら、各行の
をクリックしてマーキングしておきましょう(要Twitter OAuth認証)
コメント(2)
migimatsuさん
それ、通報したら普通に逮捕される話題ですが、こんなところでカミングアウトしちゃって大丈夫ですか・・?
コメント投稿には、twitter認証が必要です。
Twitter認証
昔、某地方銀行の Web サイトに http://....../q.cgi?q="select xxx ...." なる URL を見つけて、 みんなでもてあそんだことがあります。drop init し放題 ^^;