So - <font face="Arial" size="2">hypothetically - the first result of the sample run at <a href="http://sqid.rubyforge.org">sqid.rubyforge.org</a> would only yield a Microsoft OLE DB provider error (</font><font face="Arial" size="2">
Unclosed quotation mark before the character string</font><font face="Arial" size="2">).</font>
<p><font face="Arial" size="2">Now, granted, this is bad practice if
they can&#39;t trap their errors, but I also don&#39;t see how this constitutes
proof of an XSS vulnerability. The usual XSS variations - again, purely hypothetically - all just yield
the same error message.</font></p><p><font face="Arial" size="2">Would you consider this a potential false positive
then? In my opinion it&#39;s not a vuln unless it&#39;s exploitable.</font></p><p></p><p><br>
</p>
<p><font face="Arial" size="2"><br>
</font></p>