03.04.2010, 20:25
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
С нами:
8885780
Репутация:
672
|
|
Сообщение от Ershik
Я вижу запрос в адресную строку типа:
http://mihadmin.ru/statpage.php?sid=love
Подставляю вместо нее другой запрос:
http://mihadmin.ru/statpage.php?sid=/.../../../.../etc/passwd
На что система мне выдает:
http://mihadmin.ru/statpage.php?sid=-1' - реагирует с ошибкой.
Но если пытаюсь работать боле глубже
http://mihadmin.ru/statpage.php?sid=-1'+order+by+1/* - столбцы не выводяться
Вообщем, если ли тут иньекция?
Инклуд или скуль?
инклуд нету потому что love это значение колонки "сид" в бд, а не файл
Последний раз редактировалось Konqi; 03.04.2010 в 21:49..
|
|
|