Сервер IIS 6.0 и символы Юникода

Question

Мы проводим ручное тестирование на простом приложении asp, которое использует базу данных MS SQL. Похоже, что для аутентификации они используют динамически сконструированные запросы, но избегают одиночных квот. Когда мы используем кавычки Unicode, такие как% uFFO7,% u02b9 и т. Д., Мы можем успешно внедрять SQL-инъекции. Хотите понять, является ли это скорее своего рода проблемой конфигурации сервера IIS для канонизации символов Unicode, или то, как написана функция проверки, чтобы избежать одиночных кавычек, является причиной проблемы?

Answer 1

У вас есть образец кода ASP? Насколько я понимаю, кодирование выполняется IIS, но это для транспорта и на самом деле не будет видно, поэтому их функция escape, вероятно, ошибочна. Это особенно верно, если они строят динамические строки SQL, а не используют хранимую процедуру (которая в любом случае не будет заботиться о кавычках, но примет их как буквенные символы).