Я был на море две недели, только сегодня вечером вернулся домой (уставший от долгого перелета).
Звонит друг и просит срочно отправить ему документы по почте.
Интернет не оплачен, до ближайшего терминала QIWI идти около 15 минут. Помню, недавно провайдер предоставил возможность совершать платежи с помощью банковских карт. Захожу в личный кабинет на сайте провайдера, перехожу по нужной ссылке и радуюсь, что доступ к странице открыт, несмотря на отсутствие интернета.
Обращаю внимание на знакомое название банка, на https в адресной строке, на логотип «Verified by Visa» (да, это всего лишь название дополнительной меры безопасности, но все равно «verified by Visa»).
Могу ли я доверять этому сайту номер своей карты и CVV2? Кажется так.
Заполняю все поля формы, нажимаю «оплатить»… Вижу белую страницу со строкой текста.
Не удалось вставить: у вас ошибка в синтаксисе SQL; проверьте руководство, соответствующее версии вашего сервера MySQL, чтобы узнать правильный синтаксис для использования рядом с 'ya Ivanov', '', '0', '','127.0.0.1', ' https://web3ds.bank-name.ru:3443/cgi-bi ' в строке 1Удивительный.
О чем думал сотрудник банка, выдавая мне карту, когда ввел ненужный апостроф в поле «Имя держателя карты».
А о чем думал программист, когда подставлял данные пользователя в SQL-запрос без экранирования (похоже, речь не о SQL-инъекциях).
Вспомнил комикс xkcd, закрыл страницу, оделся, вышел на улицу и подошел к ближайшему терминалу QIWI. 
P.S. Никогда не просите пользователей вводить что-либо «без пробелов».
Разработчику проще один раз написать регулярное выражение для обработки входных данных, чем каждому пользователю читать и понимать метки под полями.
Теги: #sql-инъекция #информационная безопасность
-
Идеальная Система Управления Проектами
19 Oct, 24 -
Прототип 3D-Дисплея Raymodeler От Sony
19 Oct, 24 -
Бой Года: Плата За Просмотр Против Облака
19 Oct, 24 -
Развитие Игроков Рынка Интернет-Маркетинга
19 Oct, 24 -
Не Веб-Стартап, Но Все Же 2.0
19 Oct, 24 -
Новая Жизнь Старого Радио. Часть 2: Linux?
19 Oct, 24
