我目前正在perl中编写一个小脚本来连接到我的数据库,检索一些数据并将其显示给用户.检索的数据取决于用户给出的参数.
我dbh->quote用来逃避报价:
...
my $dbh=DBI->connect(***);
my $myquery="SELECT * FROM customers WHERE clientName =".$dbh->quote(param('name')) . " AND pass =".$dbh->quote(param('pass'));
my $sth=$dbh->prepare($myquery);
$sth->execute();
my $output=$sth->fetch();
if ($output){
print @$output;
}
...
一位朋友告诉我,这可能不安全,并且他读到有人发现了漏洞.我刚刚开始使用perl,但我想了解这个漏洞是什么.
经过一番挖掘后,我发现这个文件(pdf)似乎在谈论它,但我无法重现这个bug.