30.09.2010, 13:11
|
|
Участник форума
Регистрация: 01.09.2005
Сообщений: 194
С нами:
10889431
Репутация:
34
|
|
Сообщение от Byrger
Привет подскажите плиз как оборвать запрос на данном сайте
http://allkupchino.ru/miss/miss.phtml?n=46{SQL}
http://allkupchino.ru/bbs/ob.phtml?nb=42{SQL}
Если подставить (+; --+; /*) то результат не выводится, значит ошибка = (
По моему там ваапще нет скули..
|
|
|
30.09.2010, 13:27
|
|
Участник форума
Регистрация: 09.01.2009
Сообщений: 155
С нами:
9123693
Репутация:
94
|
|
Можно ли через sql inj внести изменения в колонку ДБ (допустим добавить/обновить юзера/хеш) ?
Если это возможно приведите плз пример
|
|
|
|
30.09.2010, 13:31
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
С нами:
10585560
Репутация:
1550
|
|
Сообщение от SEWERN
Можно ли через sql inj внести изменения в колонку ДБ (допустим добавить/обновить юзера/хеш) ?
Если это возможно приведите плз пример
Нет нельзя.Подумай сам если бы такое было возможно, то раздел рашифровки хешей был бы не нужен.А если по теме то почитай доки мускуля а в частности UNION+SELECT
и UPDATE
|
|
|
|
30.09.2010, 13:35
|
|
Участник форума
Регистрация: 17.04.2010
Сообщений: 221
С нами:
8456912
Репутация:
17
|
|
Сообщение от SEWERN
Можно ли через sql inj внести изменения в колонку ДБ (допустим добавить/обновить юзера/хеш) ?
Если это возможно приведите плз пример
PHP код:
[COLOR="#000000"][COLOR="#0000BB"]UPDATE admin SET email[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'admin@admin.ru'[/COLOR][COLOR="#0000BB"]WHERE user_name[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'admin'[/COLOR][/COLOR]
обновит емайл юзера под ником "admin" , вроде как. Но как подметил Gorev , чаще всего это невозможно... не хватает прав.
|
|
|
|
30.09.2010, 13:42
|
|
Участник форума
Регистрация: 09.01.2009
Сообщений: 155
С нами:
9123693
Репутация:
94
|
|
Читал доки , но как говорится надежда умирает последней )))
Спс.
|
|
|
|
30.09.2010, 13:46
|
|
Постоянный
Регистрация: 15.03.2008
Сообщений: 441
С нами:
9555536
Репутация:
95
|
|
очень прошу помочь найти админку тут zipp.com
|
|
|
|
30.09.2010, 13:58
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
С нами:
10585560
Репутация:
1550
|
|
Сообщение от -PRIVAT-
PHP код:
[COLOR="#000000"][COLOR="#0000BB"]UPDATE admin SET email[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'admin@admin.ru'[/COLOR][COLOR="#0000BB"]WHERE user_name[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'admin'[/COLOR][/COLOR]
обновит емайл юзера под ником "admin" , вроде как. Но как подметил
Gorev
, чаще всего это невозможно... не хватает прав. Это невозможно всегда, дело не в правах а в синтаксисе мускуля (если говорим про данный оператор в иньекции) UPDATE после UNION SELECT не работает.
|
|
|
|
30.09.2010, 18:12
|
|
Новичок
Регистрация: 12.02.2009
Сообщений: 24
С нами:
9075946
Репутация:
1
|
|
подскажите скриптец аналог bind.pl, но на пхп,
то есть цель - забиндить порт средствами пхп с целью туда неткатом подключиться
|
|
|
|
01.10.2010, 17:05
|
|
Познающий
Регистрация: 28.07.2009
Сообщений: 98
С нами:
8836437
Репутация:
136
|
|
Сообщение от jecka3000
очень прошу помочь найти админку тут zipp.com
http://zipp.com/media/
|
|
|
|
01.10.2010, 20:55
|
|
Постоянный
Регистрация: 18.11.2009
Сообщений: 709
С нами:
8674045
Репутация:
214
|
|
/path/to/script?id=
Код:
if ($id){
#Fields that can be viewed only.
$sql = "SELECT p1.ex, p1.pre, p1.batch_no, p1.sh_country, ";
$sql .= "p1.sub, p1.ta, p1.t, p1.shg, p1.total, p1.totht, p1.passcode, ";
$sql .= "DATE_FORMAT(p1.date, '%M %D, %Y, %h:%i %p') AS date ";
$sql .= "FROM table1 p1, table2 p2 WHERE ";
$sql .= "p1.id = p2.id AND p1.id = '$id'";
$result = mysql_query($sql);
...
mysql 3. слепая. можно что-нить придумать чтобы вытащить все поля из table1 и table2? имена полей известны |
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
