=/= Smesne login skripte =/=
_ 2006-09-23 13:54:01 _

Jao ne ponovo ... ne mogu da verujem da jos uvek lenji programeri prave ovakve
greske. Posto imam naviku da svaki sajt koji posetim pregledam na svoj nacin
tako sam i ovaj o kojem vam pricam sada (berza nekretnina, postoji malo duze).
Na stranici postoji link koji vodi do administratorskog panela, i na pocetku se
nalazi login forma u kojoj treba da se unese korisnicko ime i sifra. I onako
cisto iz radoznalosti sam testirao script da li je ranjiv na SQL injection
napad, ispostavilo se da jeste. Onda sam za sifru stavio "' or 1=1" i nisam
mogao da verujem da sam se ulogovao kao administrator.

Svako ko malo poznaje SQL zna sta radi ono parce koda gore i zna koliko je ovo
smesan i opasan previd u postupku provere korisnika. Tako da, molim vas
proverite vase login skripte da ne bi sutra zatekli svoj sajt prazan.