Tengo esta consulta de la base de datos Perl (reducida), y me pregunto si esto puede ser explotado de alguna manera. Esto es un desafío, así que sé que las cosas podrían hacerse de manera diferente, la tarea es explotar esto.
Que yo sepa, utiliza declaraciones preparadas y, por lo tanto, es bastante seguro. Sin embargo, pude encontrar esto , con respecto a los problemas con la cita y el parámetro.
if ('POST' eq request_method && param('username') && param('password')){
my $dbh = DBI->connect( "DBI:mysql:database_name","database_name", "<censored>", {'RaiseError' => 1});
my $query="Select * FROM users where username =".$dbh->quote(param('username')) . " and password =".$dbh->quote(param('password'));
my $sth = $dbh->prepare($query);
$sth->execute();
my $ver = $sth->fetch();
if ($ver){
print "win!<br>";
print "here is your result:<br>";
print @$ver;
}
else{
print "fail";
}
$sth->finish();
$dbh->disconnect();
}