SQL Injection se na dnešních webech už hned tak nevidí. Tvůrci webů zpravidla nejsou tak diletanští, aby umožnili pomocí parametrů URI vkládat cokoliv do svých SQL dotazů. www.zena-in.cz je nepochopitelnou výjimkou (screenshot). Redakce i technická podpora byla o problému vyrozuměna 19.srpna 2005.

-----Original Message-----

From: Daniel Dočekal
Sent: Friday, August 19, 2005 3:31 PM
To: 'redakce@zena-in.cz'
Cc: 'podpora@zena-in.cz'

Subject: Bezpečnostní problém na www.zena-in.cz

Dobré odpoledne,

Musím Ženu-in upozornit, že publikační systém, který používá na www.zena-in.cz, obsahuje vážné bezpečnostní chyby umožňující vsouvat do SQL dotazů vlastní informace.

S pozdravem

Daniel Dočekal

Mail zůstal bez odpovědi až do pondělního rána:

-----Original Message-----

From: Petr Želichovský [mailto:otik@zena-in.cz]
Sent: Monday, August 22, 2005 8:19 AM
To: Daniel Dočekal
Subject: Re: Bezpečnostní problém na www.zena-in.cz

Dobrý den,

předem děkuji za zájem projevený o magazín Žena-in.

Zároveň bych Vás chtěl požádat, zda můžete být konkrétnější, abych Vámi zmíněné chyby odstranil.

S děkovným pozdravem

Petr Želichovský
Programátor
Žena-in.cz

Situace takřka klasická. "Programátor" netuší vůbec nic o závažném problému. Ve skutečnosti je to ale asi jinak - už od brzkého pondělního rána se většina SQL Injection chyb na zena-in.cz postupně ztrácela - včetně té, která umožňovala vstoupit do redakčního systému bez nutnosti znát jména a hesla.