Форумы на Хакер

Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.

SQL-injection помогите разобраться

Пользователи, просматривающие топик: none

Зашли как: Guest

Все форумы >> [В Сети] >> SQL-injection помогите разобраться

Имя

Сообщение

<< Старые топики Новые топики >>

SQL-injection помогите разобраться - 2007-01-28 00:20:07.410000

qazar

Сообщений: 2
Оценки: 0
Присоединился: 2007-01-28 00:00:50.396666

Недавно нашел уязвимый скрипт. Пытался "взломать", но что бы я не делал - всё в пустую! Какие можно подставить параметры, что хотябы прочесть инфу из таблицы.
SQL-запрос следующий: site.com/page.php?id=1169326800'&id2=xxx
А ошибка высвечивается следующая: SELECT COUNT(*) FROM clients WHERE (idaf=12345) AND (1169326800' <= accounted) AND (1169413199 >= accounted) AND (accounted != 0)
Что можно еще подставить в запрос!?

Post #: 1

RE: SQL-injection помогите разобраться - 2007-01-28 00:38:01.580000

ZneP

Сообщений: 910
Оценки: 0
Присоединился: 2006-08-21 16:11:47

попробуй так:

site.com/page.php?id=1169326800<=accounted)+UNION+SELECT+……/*&id2=xxx

Post #: 2

RE: SQL-injection помогите разобраться - 2007-01-29 14:50:45.790000

qazar

Сообщений: 2
Оценки: 0
Присоединился: 2007-01-28 00:00:50.396666

Не помогает!!!

Post #: 3

RE: SQL-injection помогите разобраться - 2007-02-03 08:40:24.973333

kolPeeX

Сообщений: 1456
Оценки: 0
Присоединился: 2007-01-25 14:57:57.683333

что за сайт

Post #: 4

RE: SQL-injection помогите разобраться - 2007-02-07 23:35:48.716666

halkfild

Сообщений: 286
Оценки: 0
Присоединился: 2006-11-27 18:26:36.310000

исследовал сайт на наличие уязвимостей mySQL

вот нашел такую бадягу…. даные не фильтруются… вроде следовательно можно заюзать..

quote:

http://site.com/news/detail.php?id=50%20/*

выдает нормально новость, а если

quote:

http://site.com/news/detail.php

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1
 Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/site/news/detail_inc.php on line 28

http://site.com/news/detail.php?id=50' выдает тот же результат


 [b]http://site.com/news/detail.php?id=50%20union%20select%20null[/b] тоже не канает
 
 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'union select null' at line 1
 Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/site/news/detail_inc.php on line 28

пожалуйста скажите как можно заюзать8|??

Post #: 5

Страниц: [1]

Все форумы >> [В Сети] >> SQL-injection помогите разобраться

Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.