29.09.2012, 09:26
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
С нами:
9176038
Репутация:
8
|
|
Сообщение от RazyKK
в sql инъекции не проходит точка .
то есть не могу достать имена из schema.tables
есть варианты?
И еще если пишу + from xxx то добовляет префикс
aaa.xxx
вместо точки попробуй url=кодированоое значение точки - %2e
Хотя был случай. когда фильтровалось обычное url кодирование, но не фильтровалось двойной url-кодирование. Для точки это значение %252e
from+information_schema%2etables
from+information_schema%252etables
А префикс добавляет потому что ищет таблицу в текущей БД.
Полный запрос должен быть вида from+`database`.`table1`
|
|
|