26.08.2009, 17:25
|
|
Постоянный
Регистрация: 11.03.2008
Сообщений: 347
С нами:
9561436
Репутация:
462
|
|
Сообщение от jangle
Привет всем
Как обойти ....
При запросе
union+select+user_name+from+user/* order+by+abc
фильтруется _ и запрос выглядит как
union+select+user+order+by+abc
так же происходит при LOAD_FILE
в общем в любом месте _ переводится в пробел и все что следом отбрасывается
CHAR, %5F, все не помогает
Какие есть соображения?
PS ' - экранируется
unhex(hex(user_name)) ?
aes_decrypt(aes_encrypt(user_name)) ?
Последний раз редактировалось ph1l1ster; 26.08.2009 в 17:28..
|
|
|