【PSO2】PHANTASY STAR ONLINE2【1026】

254 ：名無しオンライン：2012/07/20(金) 17:43:32.22 ID:8r7DAxyV

緊急性の高い不具合

290 名前：名無しオンライン[sage] 投稿日：2012/07/20(金) 16:58:17.50 ID:2OxVk/lz [1/2]
そもそも、商品検索自体がヤバすぎるんだよ
いまもSQLインジェクション普通に出来るじゃん
そりゃ外人が警告するわけだよ

' or 1 = 1
で検索したら全件でるし

'; select * from ALL_TABLES; --
でテーブル名一覧が表示されるんだが・・・

しかも当然権限でしばってないから、どのテーブルにもフルアクセスできるしな


逮捕されそうだからやらなかったけど、分かったテーブル名から
'; drop table hogehoge; --

とかやったらDBのデータ全部消せるぞ、これ
ホントなんで、このまま放置してるん？？？？？