Нужна помощь: есть сайт вида http://xxxx/?r=club/catalog/detail&id=12при подстановки ковычки id=12' вылазит следующая ошибка:

CDbCommand не удалось исполнить SQL-запрос: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' AND date = 201703' at line 1

при попытки подобрать кол-во столбцов http://xxxx/?r=club/catalog/detail&id=12+order+by+1+--+ (или http://xxxx/?r=club/catalog/detail&i...er+by+1000+--+)появляется такая ошибка:

CDbCommand не удалось исполнить SQL-запрос: SQLSTATE[42S22]: Column not found: 1054 Unknown column '1' in 'order clause'

пробовал и - ставит впереди 12, и ковычку после 12 и делать запрос, всё равно не могу понять в чём проблема. Может кто подскажет, или как в SQLmape раскрутить, я так понял уязвимый параметр id.

Таргет в лс. А вообще смотри на саму ошибку где ругается. В первом случае потеряна кавычка у строки '' AND date = [Вот здесь]201703' или наоборот последняя лишняяВо втором случае оператор order by считает 1 текстовой строкой.

Как обычно полный РоС выслал в ЛС. А если кому интересно то решается еррор бэйседом в ордер бай.

http://s019.radikal.ru/i637/1703/7f/e59c47309ed8.jpg

Интересно в чем же? Он ничего не обещал

К этой теме не относится, товар продавал и после перевода сразу пропал.

Интересно на пруфы взглянуть. Ну а так, за такое модеры обычно банят.

Суи уже отписал)

На 500р кинул

ICQ - 712024700

ICQ - 707394583

Со второй аськи написала примерно через час после первого, с историей что мы когда-то там общались и у него есть ахуенный товар Только он не учел что он был единственным с кем я там общался и никому этот контакт не давал)

Бывает

Ищу специалиста, проверить сайт на уязвимость типа sql injection с последующим получением пароля $$$

пишите в личку