Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 
журналы новости статьи video форум подписка на «Хакер»

Помогите совершить SQL инъекцию

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [В Сети] >> Помогите совершить SQL инъекцию
Имя
Сообщение << Старые топики   Новые топики >>
Помогите совершить SQL инъекцию - 2005-05-12 19:35:55   
MadeInUSSR

Сообщений: 3
Оценки: 0
Присоединился: 2005-05-12 19:27:13
 Есть сервер с php+MySQL
Есть некий скрипт, в котором присутствуют строки типа:

$result1 = mysql_query("SELECT * FROM some_table WHERE Field1 = ''$value''");
$result1 = mysql_fetch_array($result1);
print "$temp2[Fileld2]";

Кроме SELECT есть еще UPDATE, INSERT, DELETE.
Значение $value не фильтруется ничем, кроме magic_quotes.
Хотелось бы внедрить SQL-запрос для своих нужд :). В какой-то статье по эСкУэЛь-инъекции было сказано, что magic_quotes можно обойти, но не сказано как [sm=1.gif]
Буду рад любой помощи
Post #: 1
Помогите совершить SQL инъекцию - 2005-05-12 19:37:15   
MadeInUSSR

Сообщений: 3
Оценки: 0
Присоединился: 2005-05-12 19:27:13
 Ах да, конфа сервера относительно magic_quotes:
magic_quotes_gpc On
magic_quotes_runtime Off
magic_quotes_sybase Off

++ есть вся инфа phpinfo();
Post #: 2
Помогите совершить SQL инъекцию - 2005-05-13 00:04:40   
MadeInUSSR

Сообщений: 3
Оценки: 0
Присоединился: 2005-05-12 19:27:13
 Задачка попроще:
Есть запрос mysql_query("update table1 set field1=$value1 where field2=$value2");
$value1 и $value2 опять же фильтруются только magic_quotes (т.е. фильтр на ' " \)
Как проапдейтить поле другой таблицы?
Post #: 3
Страниц:  [1]
Все форумы >> [В Сети] >> Помогите совершить SQL инъекцию







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.