Les SGBD peuvent convertir une suite de caractères en hexadecimal en texte au moment de l'insertion grace à certaines fonctions embarquées. Je pense que ce type d'astuces doit passer à l'aise à travers la protection des formulaires.
C'est probablement parce que les développeurs pensent être protégés grâce à ce mécanisme automatique qu'ils ne se méfient pas forcément d'autres menaces, comme c'était le cas avec les magic quotes en PHP.
Partager