Viele von euch werden bestimmt diesen coolen xkcd comic strip mit little Bobby Tables im Gedächnis haben. Fefe hat es auch schon gebracht, trotzdem hier und von mir nochmal.
Die norwegische Firma Syse Data hat sich nun ganz offiziell umbenannt in:
';UPDATE TAXRATE SET RATE = 0 WHERE NAME = 'EDVIN SYSE'
Ich bin sicher diese Firma wir mit ihrem offiziellen Namen noch eine Menge Spaß haben. Man glaubt ja gar nicht wie ungeprüft - oder soll ich sagen pflichtbewusst - manche Eingaben übernommen werden.
Ich hab so was ähnliches mal 2002 mit einer Postüberweisung nach Südamerika gemacht. Einfach in das Überweisungsformular java script code geschrieben und siehe da 2 Wochen später trudelte die SessionID für das OnlineBanking des EmpfängerKontos in meinen Webserverlogs ein. So einfach kann das sein ;-). Ich hab diese Lücke übrigens Cross-World-Cross-Site-Scripting (XWXSS) genannt. Weil es ein Cross-Site-Scripting (XSS) zwischen analoger und digitaler Welt ist. Aus Erfahrung kann ich euch sagen das klappt öfter als man annehmen würde ;-).