16.01.2010, 00:43
|
|
Участник форума
Регистрация: 29.03.2005
Сообщений: 138
С нами:
11114426
Репутация:
129
|
|
to YuNi|[c
Основываясь на ошибке, можно предположить, что параметр 'q' не обрамлен в одинарные кавычки в запросе ... следовательно запрос к базе можно составить и без ее использования
Например: ?q=1) union select 1,2,3,4,5/*
Так пройдет только без LIKE условия, если запрос будет примерно таким
Код:
mysql_query("SELECT title FROM content WHERE (LIKE %$q%)")
То /* не обрежет %) ... запрос выполнится и не вернется никакого результата... что бы обрезать %) в LIKE запросе за место /* используй #
Только тут походу блинд,так что можешь начинать подбирать 
Последний раз редактировалось [NiGHT]DarkAngel; 16.01.2010 в 00:51..
|
|
|