|
Что-то..
ввожу в поиск на сайте \\\\\\\\\ и мне выкидывает
в поиск вдвое больше палочек и внизу вот это: Код:
select `phalbum`.*, `photo`.`title` from `phalbum`,`photo` where `albumid`=`id` and `phalbum`.`caption` regexp '.*(\\\\\\\\\\\\\\\\\\).*' order by `phid` desc limit 0, 24 |
Называйате тему более осмысленно (на будущее).
видимо идет прегреплейс.. проверь экранируется ли кавычка - без нее ты ничего не проэксплуатируешь |
всмысле "экранируется" и как проверить?
|
ну вбей тудаже кавычку., если она будет экранироваться, т.е. добавляться к твоему запросы дополнительные слеши, следовательно либо скрипт так работает, либо magic quotes on
если все норм то можешь попробовать запрос вида 123).*'+[иньекция]/* |
что б я не писал, это берется в кавычки (сверху над поиском) и нифига вообще. (кстати xss есть)
|
| Время: 23:26 |