Обход str_replace для sql inj

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Обход str_replace для sql inj

Опции темы

Поиск в этой теме

Опции просмотра

26.06.2012, 14:10

Dima X

Новичок

Регистрация: 14.12.2008

Сообщений: 10

С нами: 9161133

Репутация: 31

Итак, есть такой вот код

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]

[/COLOR][/COLOR]

Уязвимость найдера методом подставления ?var=text\

Получается ошибка

Код:

1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''text\'' at line 1 in: 
[SELECT any FROM table WHERE field= 'text\']

Как можно выйти за пределы кавычек в запросе, с учётом того, что в $_GET['var'] она удаляется?

𝕏 Twitter Reddit Telegram Копировать ссылку

26.06.2012, 14:36

M_script

Новичок

Регистрация: 04.11.2004

Сообщений: 5

С нами: 11322426

Репутация: 0

Цитата:

Сообщение от Dima X

Dima X said:
Как можно выйти за пределы кавычек в запросе, с учётом того, что в $_GET['var'] она удаляется?

Как можно поставить кавычку, если поставить кавычку нельзя?

upd:

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...

[/COLOR][COLOR="#0000BB"]bool mozhno_postavit_kavychku[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]bool vihod_za_predely_stroki[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mozhno_postavit_kavychku[/COLOR][COLOR="#007700"];

return[/COLOR][COLOR="#0000BB"]vihod_za_predely_stroki[/COLOR][COLOR="#007700"];

...[/COLOR][/COLOR]