Итак, есть такой вот код


PHP:




Уязвимость найдера методом подставления ?var=text\

Получается ошибка


Code:
1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''text\'' at line 1 in:
[SELECT any FROM table WHERE field= 'text\']

Как можно выйти за пределы кавычек в запросе, с учётом того, что в $_GET['var'] она удаляется?

Dima X said:
Как можно выйти за пределы кавычек в запросе, с учётом того, что в $_GET['var'] она удаляется?


Как можно поставить кавычку, если поставить кавычку нельзя?

upd:


PHP:
...

bool mozhno_postavit_kavychku=false;

bool vihod_za_predely_stroki=mozhno_postavit_kavy chku;

returnvihod_za_predely_stroki;

...

M_script said:
Как можно поставить кавычку, если поставить кавычку нельзя?


Да, именно такой вопрос!

попробуй %27

Если принять к рассмотрению данный конкретный код, то не получится. Надо чтобы url-encode символы переходили urldecode после str_replace.