Эта тема появилась благодаря вот этому посту /showpost.php?p=1168547&postcount=5949 все видят инъекцию, а я не вижу. была проведена небольшая проверка FF2 - инъекция проходит Оpera 9.60 - инъекция проходит Chrome 2.0.157.2 - инъекция проходит IE7 - инъекция проходит Safari 4 beta - инъекция проходит и самое интересное: Firefox 3.0.6(win) - инъекция НЕ проходит Firefox 3.0.1(Ubuntu linux) - инъекция НЕ проходит На локальном сервере пробую запрос: http://localhost/form2'.html?a='asdf' лог запроса от FF3 Code: "GET /form2[b]%27[/b].html?a=[b]%27[/b]asdf[b]%27[/b] HTTP/1.1" 200 728 лог запроса от Opera Code: "GET /form2[b]'[/b].html?a=[b]'[/b]asdf[b]'[/b] HTTP/1.1" 200 728 Вывод: ff3 производит URL-encode всего запроса перед отправкой на сервер. может это и фича, но для проведения sqli - это баг. Просьба ко всем у кого фф3 попробовать у себя, и отписать в теме если результаты будут оличаться от моих. зы спасибо jokester, за помощь в тестировании.
в общем скачал сорцы ff3.0.7 и вот что вижу Code: NS_IMETHODIMP nsIsIndexFrame::OnSubmit(nsPresContext* aPresContext) { ... // Begin ProcessAsURLEncoded nsAutoString data; nsCOMPtr<nsIUnicodeEncoder> encoder; if(NS_FAILED(GetEncoder(getter_AddRefs(encoder)))) // Non-fatal error encoder = nsnull; nsAutoString value; GetInputValue(value); [B] URLEncode(value, encoder, data);[/B] // End ProcessAsURLEncoded ... } как и предполагалось принудительное кодирование в урл безопасные символы.