Про уязвимость в toSQL()

Сегодня кое-где проскочило сообщение, что в pdoTools есть уязвимость. Точнее, в xPDOQuery::toSQL(), которую он использует.

Конечно, это фигня, и toSQL() используюется только для вывода сообщений в лог, чтобы юзер видел, какой запрос получается. Это легко проверяется за полторы секунды через Ctrl+F, благо вся работа с БД в одном файле.

Сам метод никогда не выполняется (и в мыслях не было!) и вообще, весь класс pdoFetch работает через xPDO и только результаты выбирает через PDO, о чем я говорил миллион раз. Так что, будьте бдительны и не ведитесь на провокации.

Естественно, самые преданные мои фанаты тут же новость растиражировали вместе с забавными тегами:

modx revolution, bezumkin, уязвимость, xPDO, SQL injection, pdoTools, Jason Coward, miniShop, mSearch

Толи SEO оптимизация, толи просто закос под желтую прессу пополам с баттхертом. Без минимальной проверки информации причастными оказались даже первые версии mSearch и miniShop, которые вообще не используют pdoTools.

Интересно, а кто-то на самом деле составляет запрос через xPDO, потом конвертит в SQL и выполняет через PDO? Если такие люди есть — это номинация на «извращение года».