18.11.2012, 22:51
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033
Репутация:
8
|
|
Сообщение от None
что вообще максимум можно поиметь, если sql-инъекция в MS-SQL возможна, но ТОЛЬКО БЕЗ ПРОБЕЛОВ ???
В MSSQL в качестве пробелов проходят следующие конструкции
+,01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10, 11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20,%
Юзать примерно так
SELECT %01column %02FROM %03table;
+or +1=1 ну и так далее....
Ещё есть такая вариация
SELECT "table_name "FROM [information_schema ].[tables ]
|
|
|