ПРИМЕЧАНИЕ: это не мое приложение, оно является частью преднамеренно уязвимого учебного приложения.
Я прохожу курс по кибербезопасности и в рамках оценки приложения ataregt я пропустилв виде ASP-файла, который содержит следующий запрос к базе данных MSSQL на SQL Server 2000.
myUsrName = stripFilter(request.form("user"))
myUsrPassword = stripFilter(request.form("password"))
sSql = "SELECT * FROM tblCustomers where cust_name='" & myUsrName & "' and cust_password='"&myUsrPassword&"'"
Здесь несколько выделяется (помимо ввода, контролируемого пользователем) вторая переменная myUsrPassword, передаваемая безокружающие пробелы по обе стороны от &, в то время как myUsrName имеет пробел.
Я пытаюсь обойти некоторую фильтрацию символов между пользователем и запросом, и мне нужно знать, как это влияет на то, чтоТо есть мне нужно учитывать создание пробелов в моем тогдашнем вредоносном запросе.
Какая разница на стороне сервера при обработке этого запроса?