<p dir="ltr">Noooo... There should never be any reason for an end user to submit SQL directly to your application. </p>
<div class="gmail_quote">On Oct 2, 2014 7:39 PM, "Nalin Goel" <<a href="mailto:naling1994@gmail.com">naling1994@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Thanks August,<div><br></div><div>But I think their can be some legitimate SQL statements along with the date.If we neglect anything but the date wont that affect the functionality of the user's site.</div><div><br></div><div>Correct me if I am wrong.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 3, 2014 at 3:39 AM, August Detlefsen <span dir="ltr"><<a href="mailto:augustd@codemagi.com" target="_blank">augustd@codemagi.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Developers might see that isValidDate() returns true and then take the original string input and use that in subsequent operations instead of an actual Date object. isValidDate() needs to be fixed to return false if the date includes extra characters, regardless of what SimpleDateFormat does. <div><br></div><div>Attached is a proposed patch. </div><span><font color="#888888"><div><br></div><div>-August </div></font></span></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 2, 2014 at 2:26 PM, Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Well it sure is a significant bug. So how to fix?<br>
<br>
So what if you first take the string and parse it to a Date, and then<br>
take the same Date and format it back to a String? Assuming the format<br>
does not include the erroneous characters, you might be able to fail<br>
on validation if the original and formatted Date string do not match.<br>
<br>
This is how I'd first take it on.<br>
<br>
Maybe look for an Apache date class that is more strict?<br>
<br>
Thanks for looking at this.<br>
<span><br>
--<br>
Jim Manico<br>
@Manicode<br>
<a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a><br>
<br>
</span><div><div>> On Oct 2, 2014, at 1:07 PM, Jim Manico <<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>> wrote:<br>
><br>
> You do not stop injection at the input validation layer, I do not<br>
> think this is a good bug.<br>
><br>
> --<br>
> Jim Manico<br>
> @Manicode<br>
> <a href="tel:%28808%29%20652-3805" value="+18086523805" target="_blank">(808) 652-3805</a><br>
><br>
>> On Oct 2, 2014, at 10:53 AM, Nalin Goel <<a href="mailto:naling1994@gmail.com" target="_blank">naling1994@gmail.com</a>> wrote:<br>
>><br>
>> Hi guys,<br>
>><br>
>> I am new to open-source and would like to work with owasp-esapi.<br>
>><br>
>> I did some research on issue 251(IsValidDate not recognizing inection attacks) and would appreciate guidance as well as feedback as to what our inputs might be.<br>
>><br>
>> Any help on getting me started is appreciated .<br>
>> _______________________________________________<br>
>> Esapi-dev mailing list<br>
>> <a href="mailto:Esapi-dev@lists.owasp.org" target="_blank">Esapi-dev@lists.owasp.org</a><br>
>> <a href="https://lists.owasp.org/mailman/listinfo/esapi-dev" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-dev</a><br>
_______________________________________________<br>
Esapi-dev mailing list<br>
<a href="mailto:Esapi-dev@lists.owasp.org" target="_blank">Esapi-dev@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-dev" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-dev</a><br>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><br></div>
</blockquote></div>