Ошибка скрипта. [Архив] - Форум АНТИЧАТ

Просмотр полной версии : Ошибка скрипта.

Tem

04.12.2005, 21:18

Вот такая вот фишка. Есть сайт на катором скрипт Анегдота, тама есть поисковик , вот когда я пишу такой вот запрос "> для поиска то мне выдаётся вот такая вот ошибка.

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/oldbaku/public_html/temp/functions/database.php on line 33

и

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/oldbaku/public_html/temp/functions/database.php on line 27

Можна что нить придпринять.

Tem

04.12.2005, 21:55

Ну что ребята некто не знает что делать ?

bul666

05.12.2005, 01:28

Попробуй перебирать столбцы пока не будет выдовать ошибки... Напрмер:
http://site/?id=666'+union+select+1,2,3...n/* Пока не перестанет выдовать эту ошибку. Потом надо подобрать имя таблицы. Дошел до того, когда вместо ошибки выкидывает цифры, теперь вставляй в конец после "from" имя таблицы (...,n+from+db_table/*). Опа, нашел (Ошибка опять не высвеччивается). Переберай теперь вместо цифр столбцы кот тебе нужны в этой таблице... Думаю хреново объяснил )))))))))))))) Если что в Асю )

Tem

06.12.2005, 08:55

Ну хотябы из за это спасибо, ешё что можите сказать ?

fucker"ok

06.12.2005, 16:19

SQL injector. больше сказать тут нечего :)

real_Xo6oT

06.12.2005, 16:28

Дай точный линк, попробуем все вместе (:

qBiN

06.12.2005, 18:15

SQL injector. больше сказать тут нечегоПо ошибкам которые тут предоставлены,это не sql inj.

Tem

06.12.2005, 19:59

Вот сылка temp.oldbaku.com ,а что тогда это ?

Tem

06.12.2005, 21:29

Я так наглядна посмотрел, то нечего связаного с SQL-inj я не увидил, но почему при запросе на "> в поисковик, даёт ошибку ?

qBiN

06.12.2005, 22:44

даёт ошибку ?По тому что выдает сервер можно сказать что функциям mysql_fetch_array() mysql_fetch_row() передается не mysql-ответ,поэтому скрипт и ругается,не обязательно это sql-inj,скорее даже нет,потому что эти ошибки показывает а в mysql_query нет,поэтому наврятли.Например скрипт может работать по такой схеме,смотрит на наличие опасных символов в переменной,если они есть, то не делает mysql_query( то есть не выполняет запрос) но позже автор скрипта пишет mysql_fetch_array и передает функции пустую переменную.

Tem

06.12.2005, 22:59

А что сейчас ты советуеш сделать ?

Tem

07.12.2005, 20:10

Вот нарыл ешё коечего посматрите сами , и скажите что сейчас можна делать ?

http://temp.oldbaku.com/quick_search.php?language=">

вот это тожа посмотри интресно тожа.

http://temp.oldbaku.com/forms/joke_categories_form.php

qBiN

07.12.2005, 20:45

А что сейчас ты советуеш сделать ?Наврятли что-нибуть поимеешь кроме раскрытия пути.

Tem

07.12.2005, 20:50

Но я всё равно постораюсь, что нить придпринять.