Basic personligt

Daniels personliga blogg

Kul bugg hos Telia

Jag tittade nyss in på telia.se för att se om det finns någon 3G-utbyggnad på gång i närheten av där vi bor. Inomhus är nämligen 3G-täckningen noll, vilket är lite trist.

Så jag klickar mig runt och kommer till en fin karta, där man kan skriva in län, kommun och saker. Jag väljer ”Postort”, och ska skriva in ”Vällingby”. Tyvärr hade jag glömt ställa om från amerikanskt tangentbord som jag använder när jag programmerar, så det blev ”V’ll” osv istället. Då började det roliga. De använder Ajax för att kunna skicka sökresultat samtidigt som man skriver, varvid min enkelfnutt (eller ”apostrof” om man nu gillar det bättre) skickades som sökning till servern.

Vad händer? Jo, man får ett fint felmeddelande från deras Microsoft SQL Server om att SQL-satsen inte är giltig eftersom enkelfnuttarna inte passar ihop. Fint jobbat. Om man då skulle skicka in en ort som: ‘; drop database … så kan det hända alla möjliga kul saker på servern. KLANTARSLEN. Det absolut första man lär sig när man ska göra databassökningar är att aldrig någonsin under några som helst omständigheter lita på det användaren skriver in. Dessutom använder man aldrig sådant data direkt i sökfrågan, utan skyddar det med någonting som heter dynamisk SQL. Att missa en sådan här sak med en Microsoftprodukt i botten som ju brukar vara extra viruskänslig är direkt tjänstefel.

FY, Telia! Skäms!

Andra bloggar om: , , , , , , .

Annonser

augusti 31, 2007 - Posted by | idioti, teknik

6 kommentarer »

  1. Rätt så off topic. Men du kanske är glad för att man intresserar sig och kommenterar alls? 🙂 Använder du måhända Vim eller Emacs när du kodar? Gillar Vim personligen, men det är inte på topp med ett Svenskt tangentbord. Har funderat på att ha amerikanskt ibland själv. Men blir man inte snurrig i bollen av att byta?

    Kommentar av Bosse Aphran | september 1, 2007 | Svara

  2. De flesta kommentarer är bättre än inga kommentarer, definitivt. 🙂

    Jag kör Vim sedan 1990 eller så. Jag försökte lära mig Emacs, a.k.a. Escape Meta Alt Control Shift, men vi blev aldrig sams. Att switcha mellan amerikanskt och svenskt är inte så svårt, även om det tog en stund innan man lärde sig var + och – satt. Jag använder aldrig åäö i källkod och aldrig måsar och sånt i mail, så det är i praktiken inte så många tecken som flyttar på sig. Dessutom kör jag ju med ett vanligt tangentbord hemma och ett Kinesis på jobbet, vilket tar schizofrenin till helt nya nivåer.

    Kommentar av Daniel Brahneborg | september 1, 2007 | Svara

  3. Det är lysande jobbat av dem…

    Var på microsofts TechEd konferens förra sommaren, på ett av seminariena handlade det just om SQL injections.

    Killen som föreläste hade byggt en utility som kunde lista ut hela databasschemat baserat på det, även om man tog hand om dbfelet och bara skickade tillbaks en anonym felsida. (Genom att prova sig fram en bokstav i taget på tabell och kolumnnamn…) När man väl hade det kunde man relativt lätt samla ihop själva datat också.

    Och det är förresten inte bara MS produkter det handlar om, det är framförallt fantasilösa programmerare, har rätt ofta sett motsvarande felsidor från LAMP-applikationer, mySQL’s felmeddelanden rakt ut till användaren…

    Kommentar av Jörgen L | september 1, 2007 | Svara

  4. Du menar att du kunde motstå att testa att droppa databasen. Hade nog själv haft svårt att låta bli 🙂

    Kommentar av Béatrice Karjalainen | september 9, 2007 | Svara

  5. Man åker på så mycket stryk om man gör det, så det kändes enklast att låta bli. Orkade inte hitta Tor-inställningar och sånt för att dölja mig tillräckligt.

    Kommentar av Daniel Brahneborg | september 9, 2007 | Svara

  6. […] bug, xkcd style Jag skrev ju tidigare om Telias SQL-bug, som jag inte vet om de har fixat […]

    Pingback av Telias bug, xkcd style « Basic personligt | oktober 10, 2007 | Svara


Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s