SQl injection через символ &
 

Возможно ли провести sql injection если не фильтруеца символ & в GEt запросах......

MSSQL + asp

Нет ничего невозможного...Запомни! И ещё - для этого руки нужны из плеч...
Мой тебе совет, скажи адрес сайта/форума/чата и т.д. который хочешь сломать. Чем смогу - помогу

Давай сцылку в студию!

почитай синтаксис mssql-asp запросов, на форуме много статей по этой теме.., например, статьи от [ cash ]

мне помочь сможешь? немного застрял)

Люди ситуация такая этот сайт у меня на работе в интронете , так бы дал ссылку сразу...

Там ситуация такая есть id=43234 если добовляю что нибудь то страница открывается, но без контента. Если я добовляю например 43234& то страница открывается с нужным содержанием.

КАК можно реализовать в уэтом слусчаем инжектион?

Вряд ли там есть sql inj но попробуй так id=43234'+and+1=3-- Может ошибка появится. Или попробуй так id=43235-1 если открылась таже страница значит есть sql inj.

Кстате забыл сказть если в id передать например 9999999999999999999 то выдаст надпись на сайте Error on create or load new Box is:Overflow


id=43234'+and+1=3 то тоже выдает

Error on create or load new Box is:Overflow

id=43234+or+1=@@version--
id=43234'+or+1=@@version&--

а вообще да. клади сюда, если там что-то есть, все подробно обьясню

На твои варианты выдало:
Microsoft JScript runtime error '800a000d'

Type mismatch

/CreateCD.asp, line 136

Этот сайт у нас в сети на работе....... Он в интернет не светит(