24.12.2011, 17:37
|
|
Познавший АНТИЧАТ
Регистрация: 16.07.2010
Сообщений: 1,022
Провел на форуме:
262707
Репутация:
935
|
|
Сообщение от nikp
Предположим исходный запрос
Код:
select field_name from table_name
для MySql эквивалентным будет
Код:
select 0x6669656C645F6E616D65 from (select 0x7461626C655F6E616D65)k
а скрипт, который фильтрует, ищет подчеркивание (как символ "_"), т.е. посчитает запрос валидным. хм, дык mysql будет воспринимать значение 0x6669656C645F6E616D65 как строку 'field_name', и в итоге вернет в скрипт не содержимое колонки field_name, с строку field_name
Я думаю в данном случае извратится с mysql не выйдет, и нужно искать способ обхода проверки символа _ в скрипте, например его урл-кодированным эквивалентом (%5f), или же другим способом.
|
|
|