08.06.2011, 18:47
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
С нами:
8417113
Репутация:
0
|
|
Сообщение от foozzi
2 вопроса:
1 - имеется сайт, в нем
Возможно
есть sql inj
пишу в урл 49-1 возвращается 48 страница при написании
'
выводится пустая страница
как осуществить подсчет полей и дамп базы в таких условиях? и уязвим вообще этот сайт?
2 - как определить mysql от mssql и oracle ? кроме символов комментариев?
1. Если параметр полностью передаться в базу, то как обычно. Обычно числовые параметры не обрамляются кавычками, из за этого при проведении инъекции возможно исключить этот символ. Если нет - выложи линк. Всё надо смотреть, так же возможно из переменной удаляются символы(A-Za-z), специальные функции - здесь телепатов нет.
2. Встроенными функциями, синтаксисом подзапросов, сравнения - потом БД гораздо больше.
|
|
|