発生:
ウェブブラウザの履歴から、入力用ウェブ画面を表示時。
現象:
検索条件が取得できなかった場合も、sql発行してしまうようです。
NECのプレゼント応募サイトを表示してみました。
もしや、テキストボックスの入力内容が空かどうかのチェックをすり抜けて、sql発行までしてしまっているのでしょうか。
サニタイジング処理など、どうしているのか怖いです。
あんまり手出しすると、不正アクセス禁止法なるものにより私の命が危うくなるので、しませんけど。
こわいですね。
テーブル名といくつかのカラム名がエンドユーザに見えているのは問題ないってことなのかな。
うちならNGだろうけど・・・。
0 件のコメント:
コメントを投稿