Добрій день. Случайно нашел сдесь свой сайт :))) с найденной уязвимостью.
http://avenue.rielt.org/real-estates.php?m=-3+union+select+1,2,3,4,5,6,7,8,user(),10/*

Я неочень знаком с SQL иньекциями, но объясните мне смысл этого если в итоге на странце есть только логин к базе.

можно запросом узнать пасс и лоигн от админки, тут только пример показан.

можно запросом узнать пасс и лоигн от админки, тут только пример показан.

А где можно посмотреть полный пример?

Вот пример по выводу всех таблиц базы
http://avenue.rielt.org/real-estates.php?m=-3+union+select+1,2,3,4,5,6,7,8,table_name,10%20fro m%20information_schema.tables/*

Вот пример по выводу всех таблиц базы
http://avenue.rielt.org/real-estates.php?m=-3+union+select+1,2,3,4,5,6,7,8,table_name,10%20fro m%20information_schema.tables/*
ничего не выводится только варнинг что запрос некоректен. Может я не то что то делаю. Скопировал в адресную строку в Лисе

Так как у вас стоит пятая ветка mysql, то злоумышленник может узнать имена таблиц(и колонок в ней) в которой хранятся авторизационные данные администратора (если они у вас хранятся в БД).
Несложно догадаться что ошибка кроется в скрипте real-estates.php
должно быть код примерно такого вида
$res = mysql_query("SELECT * FROM blabla WHERE id_blalba = $m")

ничего не выводится только варнинг что запрос некоректен. Может я не то что то делаю. Скопировал в адресную строку в Лисе
:) Еще как выводит. При копипасте убери лишние пробелы которые добавляет форум

:) Еще как выводит. При копипасте убери лишние пробелы которые добавляет форум
И как избежать такого безобразия? :confused: :eek:

И как избежать такого безобразия? :confused: :eek:
переменную в кавычки и убедится что в php.ini magic_quotes_qpc переведа в положение ON.
можно через intval прогнать

И последнее где можно такому начитатся и научится?

Блин кадр ты админ,и не знаешь такой темы?)))))Ж(.Я думал админы в миллиарды осведомлённей меня(. Могу те тру книгу дать,пиши на 292-514-125 (аська если заметил:Р)

Да,и плохо ищешь - http://forum.antichat.ru/thread43966.html .В разделе Статьи смотри,если заинтересует что-либо ещё ))

ничего не выводится
аха, всё таблицы как на ладони. from - слитно должнобыть, и ещё при копировании может добавить пробелы, отсюда ошибки, а если всё правильно написано, то - см. выше. А научиться можно тут в разделе "Статьи", в книгах ещё посвящённых хакерству и информационной безопасности.