ECartman
Сообщений: 2
Оценки: 0
Присоединился: 2007-01-27 17:04:23.046666
|
Существует вот такая проблема. Eсть сайт написаный на asp и страничка которая формирует запрос к бд в виде datagrid control. у этого скрипта всего один параметр и он уязвим. как я понял выполняется такой вот запрос "select * from db where parametr = 'уязв. параметр' ". Больше ничего не известно. Ни имена таблиц ни названия полей. Внимание вопрос. Можно ли что то толковое из этого выжать? А то метод вроде выучил, а вот на этом застрял и не могу продвинутся дальше. И интересует или я бот или это просто серьезная такая вещь. В SQL слаб :( При вставке одинарой кавычки получаю - Exception Details: System.Data.SyntaxErrorException: The expression contains an invalid string constant: '''. При вставке ' or 1=1– получаю - Exception Details: System.Data.SyntaxErrorException: The expression contains an invalid string constant: '. Тоесть игнорировать оставшиюся часть запроса нельзя. Нужно обязательно юзать 'or '1'='1 тогда все нормально и запрос проходит. P.S. к гуглу не отправлять. юзал. знаю. ничего не подходит. даже к продвинутым дружкам обращался и никто не может помочь с этим извращением. Если есть великие УМЫ, которые могут мне помочь, то буду очень благодарен. Остальных просьба большая не флудить и не оставлять безполезных сообщений. Очень интересно сколько людей смогут решить эту задачу, где игнорировать последнюю кавычку нельзя(основная загвоздка у меня). Можно ссылки на ресурсы дать с такой проблемой(вдруг чего то не нашел). Вообщем хоть как то помогите разобратся с этим. Наведите на правильную мысль, плиз. P.S.S. DB - MSSSQL Version Information: Microsoft .NET Framework Version:1.1.4322.2300; ASP.NET Version:1.1.4322.2300 2 moders: сорри, тестил сайт одного юзера в локалке и застрял. поэтому не могу выложить ссылку на ресурс, а вырости в профисиональном плане хочется.
|