06
Aug
ไอ้ยังงี้ มันก็ทำให้เราเพิ่มงานอีกน้อ คือ ถ้าเอาไอ้ hi’ or 1=1– ไปกรอก ช่อง user รึ password ที่ทำด้วย asp sqlserver แล้วมันจะ ข้ามตอน check password ไปเลย เพราะ ‘ มันไปปิด query string ของเราที่เขียนไว้เลย กรรม
จริงๆ มันก็เป็นความผิดของ programmer ด้วยแหละนะ ที่ไม่ check string ก่อนส่งไป query ที่ db ก็แก้กันไป จะได้จำเป็นบทเรียน ใครจะไปคิดว่าช่อง search ก็ hack ได้ด้วย ใส่ query string ได้ด้วย
