frenzzy.ekb
14.06.2013, 21:58
Всем добрый вечер. Хочу задать вопрос, самому разобрать никак не выходит.
Итак, имеет место рабочая инъекция, вызванная отсутствием фильтрации параметров (в параметр передается диапазон чисел через тире, например 10-15, и они без изменений подставляются в запрос)
Вероятнее всего используется простой explode. Проблема состоит в следующем - в нужной схеме базы в названии так же присутствует "-", в следствие чего вся часть после "-" включительно отбрасывается и получить данные из этой схемы не получается (пример нужной таблицы например такой "Site-stat.users", в качестве текущей схемы стоит "Site_data"; при попытке запроса "from Site-stat.users" вываливается ошибка "Table 'Site_data.Site' doesn't exist")
Есть ли какая-нибудь возможность через стандартные функции MySQL все таки получить доступ к схеме (к примеру через HEX представление имени схемы)?
Итак, имеет место рабочая инъекция, вызванная отсутствием фильтрации параметров (в параметр передается диапазон чисел через тире, например 10-15, и они без изменений подставляются в запрос)
Вероятнее всего используется простой explode. Проблема состоит в следующем - в нужной схеме базы в названии так же присутствует "-", в следствие чего вся часть после "-" включительно отбрасывается и получить данные из этой схемы не получается (пример нужной таблицы например такой "Site-stat.users", в качестве текущей схемы стоит "Site_data"; при попытке запроса "from Site-stat.users" вываливается ошибка "Table 'Site_data.Site' doesn't exist")
Есть ли какая-нибудь возможность через стандартные функции MySQL все таки получить доступ к схеме (к примеру через HEX представление имени схемы)?