Estoy realizando algunos cursos de piratería, y en una de las lecciones, tengo un posible SQLi, pero en el código fuente de Python hay una cláusula if justo antes de la declaración SQL, que filtra el símbolo de la cita:
user="user"
pass="pass"
if "'" in user+pass:
print "error"
else:
db.execute("select * from users where username = '%s' and password = '%s'" % (username,password))
Entonces, cuando intento inyectar asdf' or '1'='1
en cualquiera de los campos, la cláusula if me detiene. He intentado codificar el símbolo de cita en diferentes codificaciones (hexadecimal, base64, html, etc.), pero todavía no funciona.
¿Alguna idea?