 |
|
09.06.2012, 01:00
|
|
Новичок
Регистрация: 24.12.2009
Сообщений: 27
С нами:
8622326
Репутация:
0
|
|
|
|
|
17.06.2012, 01:00
|
|
Новичок
Регистрация: 16.06.2012
Сообщений: 4
С нами:
7319126
Репутация:
0
|
|
Подскажите плиз, если в строке поиска ввести кавычку и выводится такое:
SQl highlight
Код:
MySQL Error
!
------------------------
The Error returned was:
You have an error
in
your
SQL
syntax;
check
the manual that corresponds
to
your
MySQL server version
for
the
right
syntax
to
use near
'%'
or
dle_photo_post.name
like
'%'
%
' or dle_photo_post.des like '
%
'%'
or
dle_p
' at line 2
Error Number:
1064
source:
Код:
____
____
____
____
____
____
____
____
____
____
____
____
____
____
____
____
____
____
____
SELECT dle
_photo_
post.
* FROM dle_photo_post LEFT JOIN dle_photo_alboms
ON dle_photo_post.albom = dle_photo_alboms.id WHERE (
dle_photo_post.id like '%'%' or dle_photo_post.name like '%'%' or
dle_photo_post.des like '%'%' or dle_photo_post.date like '%'%' or
dle_photo_post.comms like '%'%' or dle_photo_post.author like '%'%' or
dle_photo_post.albom like '%'%' or dle_photo_post.file like '%'%' or
dle_photo_post.look like '%'%' or dle_photo_post.tegs like '%'%' or
dle_photo_post.rating like '%'%' ) and (dle_photo_post.show = 0 or
dle_photo_post.show < 1339927454) and (dle_photo_post.hide = 0 and
dle_photo_post.moder = 0)ORDER BY dle_photo_post.date DESC
______________________________________________________________________________
Это sql inj? Вроде как фильтрация отсутствует...
Движок DLE < 9. |
|
|
|
17.06.2012, 01:00
|
|
Постоянный
Регистрация: 21.04.2010
Сообщений: 787
С нами:
8452406
Репутация:
320
|
|
gerrpilligrim ДА
|
|
|
|
17.06.2012, 01:00
|
|
Новичок
Регистрация: 16.06.2012
Сообщений: 4
С нами:
7319126
Репутация:
0
|
|
hugolom, то есть мне действовать по той же схеме toXa? Все точно также, просто вводить в поиск, а не в адресную строку? Пытаюсь вбить команды, он просто пишет "нет результатов", не выводя вообще никакой ошибки. Это получается в слепую подбирать? Или там ошибка фильтрации может только на кавычку идти, а на плюс и прочее работает(фильтрация работает в смысле на +).
|
|
|
|
17.06.2012, 01:00
|
|
Постоянный
Регистрация: 21.04.2010
Сообщений: 787
С нами:
8452406
Репутация:
320
|
|
покажи ссылку
|
|
|
|
17.06.2012, 01:00
|
|
Новичок
Регистрация: 16.06.2012
Сообщений: 4
С нами:
7319126
Репутация:
0
|
|
Уже скинул в личку. Хотя если надо, могу и сюда.
|
|
|
|
17.06.2012, 01:00
|
|
Познающий
Регистрация: 13.11.2010
Сообщений: 58
С нами:
8155766
Репутация:
0
|
|
|
|
|
|
18.06.2012, 01:00
|
|
Новичок
Регистрация: 16.06.2012
Сообщений: 4
С нами:
7319126
Репутация:
0
|
|
Цитата:
Сообщение от Nobody4all
Вместо table_name напиши group_concat(table_name)
Ниже советовали это, поэкспериментируй.
|
|
|
|
18.06.2012, 01:00
|
|
Познающий
Регистрация: 13.11.2010
Сообщений: 58
С нами:
8155766
Репутация:
0
|
|
Цитата:
Сообщение от gerrpilligrim
Ниже советовали это, поэкспериментируй.
при вводе group_concat(table_name),3,4,5,6,7+from+informatio n_schema.tables+limit+ **,*--
таже фигня, даже порой и хуже, так как не отображает не users и вообще ничего нет
|
|
|
|
24.06.2012, 01:00
|
|
Новичок
Регистрация: 17.10.2010
Сообщений: 3
С нами:
8194646
Репутация:
0
|
|
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
