|
Комментирование части запроса (SQL-inj)
Всем доброго дня.
Уважаемые господа, столкнулся с такой проблемой: Для внедрения SQL инъекции необходимо закомментировать хвост запроса. Сам запрос в исходнике: Код:
$sql = "UPDATE table SET time='{$now}', what='{$what}', do= '{$do}', task= '{$task}', link= '{$link}', func= '{$func}'"Код:
http://site.com/index.php?func=bla'/*может это из-за того, что WHERE в запросе идет с новой строки... Подскажите пожалуйста как корректно закомментировать всё WHERE. |
Дело не только в коментарии, ошибку, для проведения sql-inj надо не только уметь вызвать, но и нигилировать её последующим корректным запросом, а уж потом комментировать, чтобы анигилировать sql-конструкции, идущие следом
|
Цитата:
Это конечно при условии, что MySQL не требует строго обособления многострочного комментария с обеих сторон. Т.е. я расчитывал на то, что открывающего указателя многострочного комментария /* будет достаточно для построения синтаксически верного запроса, но что-то чувствую, что MySQL ругается именно на отсутствие закрытия комментария */ |
вопрос: вы пытаетесь внедрить SQL-код обьединив запросы UPDATE & SELECT или через подзапрос?
покажите как вы делаете тогда станет ясней... |
Цитата:
Цитата:
|
Цитата:
Пища для мозгов) Код:
http://site.com/index.php?func=bla'/*' |
xa-xa89 спасибо! Теперь ясно почему ругается.
Подскажите, как же мне тогда верно отрезать WHERE? |
Цитата:
|
Приводи сразу что пишет!я ж не телепат!
|
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '/*'' WHERE userid=0 AND userip='255.255.255.255'' at line 2 SQL=UPDATE table SET time='1248287457', what='main', do= '', task= '', link= '/index.php?func=%27/*%27', func= 'bla'/*'' WHERE userid=0 AND userip='255.255.255.255'
|
| Время: 04:29 |