2017年2月6日月曜日

もろにSQL見えてんだけど・・・

こんばんは、
燃えPaPaです。

いつもの
リードメール
で、検索した時

画面に、
INSERT INTO getpoint(カラム名) VALUES(私の関連情報)
と、もろにデータベース書き込みのSQL文出ちまってたけど・・・
(さすがに中身はやば過ぎて書けないw)

だいじょぶか!?
次から出なくなってたから・・・

偶然そのタイミングで、テストで、テンプレートにSQL文を出力して、
何か動作確認してたのかもしれんが・・・
こんなん出してしまったら、
どこに検索ワードが入るのかわかるし、
悪意があればSQLインジェクション試しまくりやん・・・

まあ、さすがに悪用はしませぬが

あまりよく出るようだったらセキュリティ上危ないので教えてあげよう
意図的にポイント無限に増やせる危険もあるしなあ。


燃えPaPa