Ho questa (ridotta) query del database Perl, e mi chiedo se questo possa essere sfruttato in qualche modo. Questo è da una sfida, quindi so che le cose potrebbero essere fatte in modo diverso, il compito è sfruttarlo.
A mia conoscenza utilizza dichiarazioni preparate ed è quindi considerevole e sicuro. Tuttavia potrei trovare questo , per quanto riguarda i problemi con preventivo e param.
if ('POST' eq request_method && param('username') && param('password')){
my $dbh = DBI->connect( "DBI:mysql:database_name","database_name", "<censored>", {'RaiseError' => 1});
my $query="Select * FROM users where username =".$dbh->quote(param('username')) . " and password =".$dbh->quote(param('password'));
my $sth = $dbh->prepare($query);
$sth->execute();
my $ver = $sth->fetch();
if ($ver){
print "win!<br>";
print "here is your result:<br>";
print @$ver;
}
else{
print "fail";
}
$sth->finish();
$dbh->disconnect();
}