Подскажите где тут грабли,
впариваю в форму hi" or 1=1--  (на ' не реагирует)
на что DAO отвечает:
DAO.Database error '800a0c03'
Syntax error in string in query expression 'user="hi" or 1=1--"'.
/edit.asp, line 121

что тут не так, или в данном случае это не уязвимость ?
Что ещё можно попробовать для проверки

Все очень просто.
В статье (http://antichat.ru/sql) описывается MySQL, в ктором ограничителем строковых констант является одинарная кавычка. В других версиях SQL может использоваться и двойная кавычка, а также оба типа кавычек.

В данном случае в используется двойная кавычка, уязвимость явно есть.

Cтатью читал, там вроде всё понятно , а тут ничё непонятно http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif
Как правильно сформировать запрос чтобы избавиться от Syntax error , что то несооброжу... http://forum.antichat.ru/iB_html/non-cgi/emoticons/sad.gif

Введи например такое
" or "1"="1
Ошибки выдать не должно

Именно так и оказалось,
но вот опять непонятки...
В статье на www.securitylab.ru говориться что:
Системная таблица INFORMATION_SCHEMA.TABLES содержит информацию всех таблиц на сервере.

Стало быть, запрос типа:
10" UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES
должен выдать имя 1-ой таблицы,
а выдаёт "Couldn't find file 'INFORMATION_SCHEMA.mdb'."
Интересно с чего такое продположение что эта тааблица обязательно существует...
Есть ли какие способы узнать какая системная таблица используется вместо INFORMATION_SCHEMA ?
Спасибо.

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Resp @ мая 29 2003,00:15)</td></tr><tr><td id="QUOTE">В статье на www.securitylab.ru говориться что:
Системная таблица INFORMATION_SCHEMA.TABLES содержит информацию всех таблиц на сервере.[/QUOTE]<span id='postcolor'>
таблица INFORMATION_SCHEMA.TABLES используется только в Microsoft SQL Server

Сервер крутиться NT4 SP(хз),
из ошибки видно что используется Miscrosoft DAO ,
Это разве не оно самое ?

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Resp @ мая 29 2003,02:26)</td></tr><tr><td id="QUOTE">Сервер крутиться NT4 SP(хз),
из ошибки видно что используется Miscrosoft DAO ,
Это разве не оно самое ?[/QUOTE]<span id='postcolor'>
Нет конечно ))
DAO это программная надстройка над ODBC предназначенная для разработки приложений баз данных(в основном на С++, для MS Access)
MS SQL server это движок БД, поддерживающий хранение данных, доступ к ним (посредством SQL), сетевой доступ..

Тёмный я человек http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif) Спасибо просветил http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif
Может наведёшь на путь истиный, чтоб не блуждать по Яндексам и Гуглам, что тут можно ещё предпринять ?
Или угадывание таблицы единственное что остаётся в данном случае ?

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Resp @ мая 29 2003,19:20)</td></tr><tr><td id="QUOTE">Тёмный я человек http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif) Спасибо просветил http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif
Может наведёшь на путь истиный, чтоб не блуждать по Яндексам и Гуглам, что тут можно ещё предпринять ?
Или угадывание таблицы единственное что остаётся в данном случае ?[/QUOTE]<span id='postcolor'>
Вообще-то Microsoft Jet (используемая MS Access) довольно примитивная платформа, рассчитанная на локальное однопользовательское использование. Поэтому наворотов типа INFORMATION_SCHEMA в ней нет.
Все что поддерживает Microsoft Jet SQL описано в хелпе MSAccess (раздел &quot;справка по языку Microsoft Jet SQL&quot;)