Есть iis 5 и MS sql 2000. Поставлен SQLXML3.0. Собственно вопрос. Есть такой темплэйт.
<?xml version="1.0" encoding="utf-8"?>
<root xmlns:sql="urn:schemas-microsoft-com:xml-sql">
<sql:header>
<sql:param name="Request"/>
</sql:header>
<sql:query>
exec VDB_Dispatch @Request
</sql:query>
</root>
возможно ли при передачи параметра Request
методом POST, осушествить SQL Injection например так
<FORM action="xxx.xml" method=post>
<input type name=Request value="1234;SELECT * FROM xxx FOR XML AUTO">
<input type="submit">
</FORM>
<?xml version="1.0" encoding="utf-8"?>
<root xmlns:sql="urn:schemas-microsoft-com:xml-sql">
<sql:header>
<sql:param name="Request"/>
</sql:header>
<sql:query>
exec VDB_Dispatch @Request
</sql:query>
</root>
возможно ли при передачи параметра Request
методом POST, осушествить SQL Injection например так
<FORM action="xxx.xml" method=post>
<input type name=Request value="1234;SELECT * FROM xxx FOR XML AUTO">
<input type="submit">
</FORM>