MadeInUSSR
Сообщений: 3
Оценки: 0
Присоединился: 2005-05-12 19:27:13
|
Есть сервер с php+MySQL Есть некий скрипт, в котором присутствуют строки типа:
$result1 = mysql_query("SELECT * FROM some_table WHERE Field1 = ''$value''"); $result1 = mysql_fetch_array($result1); print "$temp2[Fileld2]";
Кроме SELECT есть еще UPDATE, INSERT, DELETE. Значение $value не фильтруется ничем, кроме magic_quotes. Хотелось бы внедрить SQL-запрос для своих нужд :). В какой-то статье по эСкУэЛь-инъекции было сказано, что magic_quotes можно обойти, но не сказано как [sm=1.gif] Буду рад любой помощи
|