28.09.2010, 06:28
|
|
Участник форума
Регистрация: 17.09.2006
Сообщений: 248
Провел на форуме:
556476
Репутация:
66
|
|
Сообщение от Expl0ited
ref=BIG') and 1=0 по идеи должен съесть но ничего из БД не выдать.
ref=BIG') and 1=1 а так выдать
ref=BIG') order by 10000 -- по идеи тоже должно сработать выдать
Unknown column '10000'
ну а дальше ты понял, и если у тебя на локалке, то привел бы код из скрипта, который обрабатывает переменную $_POST['ref'] и делает с ней запрос в БД
Вообще то вот так выглядит запрос по настояшему:
Код:
script.php?Sex=female&YearFrom=18&YearTo=40'
а ответ:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'+1 YEAR) AND upApproved = '1' LIMIT 1' at line 3
на тот же
Код:
script.php?Sex=female&YearFrom=18&YearTo=40') order by 1000--
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\') order by 1000--+1 YEAR) AND upApproved = '1' LIMIT 1' at line 3
пробовал разные варианты и floor rand не пашет ((
PS.так как линк крупный не постил тут. Прошу помочь если у кого есть идеи
|
|
|