09.03.2006, 17:21
|
|
Новичок
Регистрация: 29.07.2005
Сообщений: 20
Провел на форуме:
357093
Репутация:
13
|
|
Сообщение от Laggi
Ап.
Есть уязвимость в запросе такого вида:
UPDATE <table> SET <pole>=100 WHERE <drugoe_pole>=$var
Вот я могу в $var подставить все, кроме ", '... Есть возможность что-нить сделать?
В пхп это выглядит как (своя функция):
Mysqlquery("UPDATE <table> SET <pole>=100 WHERE <drugoe_pole>=$var");
Вот-с... Не парься union работает только в select
|
|
|