Как показала практика, в названиях товаров, поступающих в виде электронных прайсов, могут присутствовать практически любые знаки – латиница, проценты, доллар, решетка, все виды кавычек, включая обратные, знаки неравенства, решетка, конъюнкция, точка с запятой и т.д. Гипотетические, из них может сложиться код, который будет выполнен системой. Или такой код может быть создан преднамеренно каким-либо шутником. Или злоумышленником. Поэтому возникает желание протестировать свою систему на наличие такого кода. Что бы такое запустить в систему под видом названия товара, чтобы оно отработало как код?

И еще. Существуют ли какие-либо обязательные атрибуты кода? То есть, такая комбинация знаков, при отсутствии которой данная строка уже совершенно точно не является исполняемым кодом?

в каких прайсах? xml? pdf?

https://www.google.ru/search?q=ezpdbvjcnm+%...iw=1920&bih=955

https://www.google.ru/search?q=ezpdbvjcnm+%...iw=1920&bih=955

_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker

Прайсы идут в формате CSV.

Похоже, что для этого формата типовых уязвимостей не обнаружено (во всяком случае, в поиске таких тем не видно).

http://www.securelist.com/ru/descriptions/...sv?print_mode=1

_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker

Поскольку у этого объекта нет описания, то я никак не могу его использовать. Так что вопросы темы остаются актуальными.

Тыц

_____________
There never was a struggle in the soul of a good man that was not hard

<script>location.href = "http://sex.com"</script>