E’ appena uscito sul blog di HTML.it un mio intervento dedicato alla sicurezza dei siti web. Cari utenti conoscitori di SQL, vi siete mai chiesti quanti siti passano in querystring l’SQL pura?
Troppi! allinurl:sql select from where
E giusto per non farci mancare nulla, Demetrio fa notare nei commenti che anche il sito del nostro ministero della difesa è stato sviluppato in questo modo geniale: allinurl:strSQL=SELECT marina.difesa
E poi parlano di spionaggio e sicurezza… qualcuno spieghi loro che se ora qualcuno in un URL cambiasse SELECT con DROP potrebbe tranquillamente rimuovergli una tabella, un database o chissà quale altro danno fare! Qualcuno sa come contattarli?
Mmm, trattasi forse di web 2.0 … o 3.0?