すれば、やすみぃ。 XSS Fragmentation Attackなるものがあるらしいが、こんなこといったら、SQL Injection Fragmentation Attackなんてものも出来まっせ。 XSS Fragmentation Attackは、2つの入力フィールドに「」のようなデータを入れてチェック機能を回避するらしい。 SQL Injection Fragmentation Attackとなると、同様に、2つの入力フィールドに「hoe\' or 1=1 or ' = "」と「1"」なんて物を入れると、「'」を「''」としかエスケープしていないアプリケーションで、「\'」をシングルクォートの文字データとみなし、「"」を文字の区切りとみなすRDBMS(MySQLとか)の場合、全件検索となるとか・・・ これは、デモサイト作っているときにJDBC経由だと「;--」が使えないのでたま