La società per cui lavoro è recentemente passata a un fornitore esterno per i servizi di gestione stipendi. Abbiamo effettuato un caricamento iniziale dei dati dal nostro vecchio sistema al nuovo fornitore. Ho notato che i nostri dipendenti che hanno apostrofi nei loro nomi (O'Riley per esempio) non si adeguavano più ad altri sistemi. Il nuovo fornitore di libri paga aveva rimosso gli apostrofi. Siamo in grado di aggiungere manualmente l'apostrofo indietro tramite il front-end basato sul Web e di eseguire un rapporto subito dopo la modifica mostra l'apostrofo, ma il carattere viene rimosso dal giorno successivo.
Quando ho chiesto al venditore di libri paga i caratteri rimossi, sono stato informato che "Il sistema rimuoverà automaticamente le virgolette poiché sono problematiche nel database stesso." È stato raccomandato di utilizzare il carattere tomba (virgoletta singola all'indietro) perché sembra simile a una virgoletta singola.
La mia domanda è questa: l'incapacità di gestire le virgolette (singole o doppie) in un database indicativo di vulnerabilità a SQL injection e c'è un modo sicuro e legale per dimostrare o smentire questa vulnerabilità?
Si tratta di un sistema di buste paga e sono riluttante a tentare di scoprire eventuali vulnerabilità sul sistema live e non ho accesso a un sistema di test.