По
PostgreSQL
В отличие от MySQL, в базах данных PostgreSQL количество полей в select-запросах может не совпадать. Следовательно, здесь нам не нужно подбирать количество полей, как это бывает в MySQL.
Пример: запрос «http://club.*****.ru/?part_id=10;select 1/**/» равнозначен «http://club.*****.ru/?part_id=10;select 1,2/**/».
Дальше мона не читать =\
Такое чувство что автор ни разу не проводил инъекции в реальные Postgre сервера...
3.Нельзя оставлять открытый комментарий.
Следовательно, отсечь ненужный нам sql-запрос
просто так не получится. Но есть простой выход — использование null-байта «%00» (при отсутствии фильтрации).
Запрос:
http://club.*****.ru/?part_id=10-1/*
Вывод:
Fatal error: Call to undefined function: fetchrow()
in /var/www/htdocs/veresk_club/classes/SQL.
class.php on line 25
Запрос:
http://club.*****.ru/?part_id=10-1/**/
Вывод:
Страница сайта.
Вообще полный ЛОЛ! Автор не слышал про однострочные комментарии "--"(два тире)
Особенно жжет вот здесь:
использование null-байта «%00»
10.Вырубить сервер всегда можно с помощью
простой инструкции shutdown (при соответствующих
правах).
Просто улыбнуло =)
По
Oracle
Если
6. Использование разделения выражений
символом «;» невозможно.
то как тогда возможно
2. Возможно выполнение таких запросов, как INSERT, DELETE, UPDATE.
предлагается вставлять в синтаксис SELECT? о_О
Или имеется ввиду в принципе поддержка данных операторов в SQL Oracle =)
3. Использовать limit,
как ты это делал в MySQL,
в Oracle не получится. Вместо этого используй in (1,2).
Чушь полная =\
9. Вместо пробелов можно использовать кавычки.
Пример: «select"username"from"sys».«dba_users"where"use rname"='sys'»
аналогично лол..