Navegando por Internet con la visión de programador, a veces te encuentras verdaderas joyas cuando miras el código de un sitio. Como esta:
function saveform() { var firstName = escapeSql(mainForm.elements.txtFirstName.value); var lastName = escapeSql(mainForm.elements.txtLastName.value); /* ... */ var offerCode = escapeSql(mainForm.elements.txtOfferCode.value); var code = ' $cn = mssql_connect($DB_SERVER, $DB_USERNAME, $DB_PASSWORD) ' + ' or die("ERROR: Cannot Connect to $DB_SERVER"); ' + ' $db = mssql_select_db($DB_NAME, $cn); ' + ' ' + ' if (mssql_query("SELECT 1 FROM APPS WHERE SSN=\''+ssn+'\'", $cn)) ' + ' { $ins = false; } ' + ' else ' + ' { $ins = true; } ' + ' ' + ' if ($ins) { ' + ' $sql = "INSERT INTO APPS (FIRSTNM, LASTNM, ..., OFFERCD) VALUES ("; ' + ' $sql+= "\''+firstName+'\',"; ' + ' $sql+= "\''+lastName+'\',"; ' + ' $sql+= "\''+offerCode+'\')"; ' + ' ' + ' /* ... */ ' + ' ' + ' mssql_query($sql, $cn); ' + ' mssql_close($cn); '; execPhp(code); }
Desde luego, no querría estar en su piel en el momento en el que un «malintencionado» programador encontrara esta forma tan sencilla de acceder a su base de datos… :P
Hay de tó