| |
|
|
| | Никак не могу разобраться как с этим работать.
Предположим есть таблица users с полями: id, name, password
В скрипте обработчике используется запрос вида:
SELECT * FROM users WHERE name='".$_GET['name']."' AND password='".$_GET['password']."'
|
Как не пробую, но вытащить пароль не получается.
Пробывал назначать переменной $_GET['name'] значение 'OR 1=1' и 1qwerty писал всё равно выводит страницу как если бы $_GET['name'] была равна 1.
В чём здесь загвоздка? Помогите плиз разобраться почему не работают инъекции. | |
| |
|
|
| |
|
|
| |
для: Максимыч
(29.09.2006 в 13:08)
| | | Тут надо работать через UNION | |
| |
|
|
| |
|
|
| |
для: Loki
(29.09.2006 в 14:00)
| | | А пример можете дать? | |
| |
|
|
| |
|
|
| |
для: Максимыч
(29.09.2006 в 13:08)
| | | Наверно, надо делать так:
$_GET['password'] значение 1' OR 1=1' | |
| |
|
|
| |
|
|
| |
для: Thrasher
(29.09.2006 в 15:00)
| | | Попробывал. Тоже тишина. | |
| |
|
|
| |
|
|
| |
для: Максимыч
(29.09.2006 в 15:29)
| | | echo get_magic_quotes_gpc(); что говорит? | |
| |
|
|
| |
|
|
| |
для: Trianon
(29.09.2006 в 15:30)
| | | Говорит "1". | |
| |
|
|
| |
|
|
| |
для: Максимыч
(29.09.2006 в 16:36)
| | | если 1 , то не заработает.... | |
| |
|
|
