вот это

%27%3A%27%

замени на

char(58)

у меня проде есле делаю так +as+nvarchar то меня перекидует на

стоит WAF http://www.applicure.com/

пробуй как-то обойти, по-моему децл не та тема, тем более нет ссылки. Подход в случае защиты к каждой скуле индивидуальный

В cлучаях если фильтруются оператор select и т.п, то узнать system_user(),db_name(), можно так

?id=user

?id=db_name()

Короче вот опять мои любимые музейщики http://www.r*c*xpo.com/*xhibition_ov*rvi*w.php?id=157' (заменим * на e).

Там пых походу. Пробывал подставить конструкции из первого поста, но всегда выводится такое красивое число на белом фоне, как 1.

Есть советы какие, м.б. кто сталкивался?

Перезалейте плиз

Надеюсь, я пишу в ту ветку. Мне нужна помощь.

У меня возникли проблемы с кодировкой. Сразу скажу, что я только начинающий.

При попытке вывести содержание столбца получаю абракадабру. Каким образом можно вывести информацию в другой кодировке? Перепробовал разные варианты, предложенные в тех или иных ветках античата (unhex(hex()), AES_DECRYPT(AES_ENCRYPT(),), collate, cast( as nvarchar) и т.п.) Ничего не помогает. В этой строке запрятан почтовый адрес на русском языке.

Вот, собственно, сам запрос:

...id=-1'+OR+1=(SELECT+TOP+1+cast(strAddress+as+nvarchar) +FROM+tbfVP)+--

Используется MS SQL.

Буду очень признателен.

Попробуй раскрутить через union. Мне помогает

А есть еще какой то способ объединения данных вместо cast? Что то такой способ у меня не хочет работать.

cast() - это привидение к определенному типу данных, а не объединение! Используйте concat()