03.12.2014, 03:02
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
Сообщение от Br@!ns
а разве блоки в друпале не из бд берутся? Тогда можно было бы там и вписать свой код. или это только в 6.x ?
2)
есть ли варианты эксплотации sql в подобных случаях?
Код HTML:
http://www.phd-fitness.co.uk/store/search_products.php?search_string=%27&Search.x=0&Search.y=0
когда реакция только на ковычку, и все. ? там примерно такой алгоритм:
1. спецсимволы экранируются (кавычка станет \')
2. из строки вырезаются кавычки (остается \) и из-за этого и возникает ошибка (получается что-то вроде WHERE search_str like '\'
и еще меня там заблокировали, зайти не могу
|
|
|