| |
|
|
| | Ввожу .php?msg='&blabla()='
И получаю
MySQL error : You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '()='')' at line 1
Можна чтонибудь с этим сделать??? | |
| |
|
|
| |
|
|
| |
для: FLi
(23.11.2006 в 06:17)
| | | Например, можно сообщить:
1. куда именно вводите.
2. какой скрипт обрабатывает вызов
3. что Вы хотите получить этим вызовом.
А можно не делать ничего. | |
| |
|
|
| |
|
|
| |
для: FLi
(23.11.2006 в 06:17)
| | | мне интересно...php?msg='&blabla()=' что там стоит в нормальном состоянии?цифры какие нибудь?
Вобще то что он выдал ошибку это уже говорит о том что на сайте есть уязвимость....но как я уже убедился,есть недоделки но и они прикрыты...и ни везде удается применить SQL-Jnjection...так что по подробне обьясните пожалуйста что за сайт какие значения там стоят и такдалее.... | |
| |
|
|
| |
|
|
| |
для: LuxeMate
(23.11.2006 в 09:39)
| | | Обычное значение index.php?msg=page1
Кавычка .php?msg='
Выводит ошибку!!
Есди способы ее уязвить??? | |
| |
|
|
| |
|
|
| |
для: FLi
(23.11.2006 в 06:17)
| | | >Можна чтонибудь с этим сделать???
Вы хотите защититься от этой SQL-инъекции? Тогда следует обработать элемент массива $_GET['msg']
<?php
if (!get_magic_quotes_gpc()) {
$_GET['msg'] = mysql_escape_string($_GET['msg']);
}
?>
|
| |
| |
|
|
| |
|
|
| |
для: cheops
(23.11.2006 в 12:21)
| | | Нет можна с ней что нибудь съделать, получить какийто данный??? | |
| |
|
|
| |
|
|
| |
для: Fli
(23.11.2006 в 21:22)
| | | .php?msg='&msg='&msg='+print+@@asd
Получаю
MySQL error : Unknown system variable 'asd' | |
| |
|
|
| |
|
|
| |
для: Fli
(23.11.2006 в 22:08)
| | | Вы формируете строку запроса средствами JavaScript? | |
| |
|
|
| |
|
|
| |
для: cheops
(23.11.2006 в 23:36)
| | | лапками он её формирует. шаловливыми.
А плюсы - это не конкатенация строк в JS, а URI-шный пробел.
P.S. Интересно, угадал или нет? | |
| |
|
|
| |
|
|
| |
для: Trianon
(23.11.2006 в 23:40)
| | | Угадал!!, только у меня не лапки:( | |
| |
|
|
