ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > Программирование > PHP, PERL, MySQL, JavaScript
Перезагрузить страницу Помогите с запросом Mysql
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Помогите с запросом Mysql
  #1  
Старый 04.09.2006, 02:30
Zazil
Познающий
Регистрация: 17.02.2005
Сообщений: 39
Провел на форуме:
127284

Репутация: 1
Question Помогите с запросом Mysql
Имеется запрос вида select * from users where username=' <-- sql injection

Нужно составить запрос чтобы можно было подобрать имена пользователей. Запросы вида select * from users where username='nosuer' or username like '% не проходят так, как никакой информации о результате выполнения запроса после этого не выводится и соответственно не возможно таким образом определить выполнение или невыполнение условия.
На сколько я помню, есть возможность определить выполнение запроса с помощью if и benchmark.

Помогите составить запрос, спасибо.
 
Ответить с цитированием

  #2  
Старый 04.09.2006, 02:51
Trinux
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,149
Провел на форуме:
941818

Репутация: 569


По умолчанию
тебе нужны именно имена пользователей? дай урл глянуть как и что выводится на страницу, чтобы понять. И распиши подробнее что нужно

P.s. я не хакер и "твой" сайт с его логинами и пассами мне не нужен
 
Ответить с цитированием

  #3  
Старый 04.09.2006, 03:01
Zazil
Познающий
Регистрация: 17.02.2005
Сообщений: 39
Провел на форуме:
127284

Репутация: 1
По умолчанию
Я же писал, что никакой информации о том, что пользователь существует или нет не выводиться. А пример запроса я получил путем вызова ошибки. Поставил в имени пользователя ' . Мне надо определить выполнился запрос или нет.
 
Ответить с цитированием

  #4  
Старый 04.09.2006, 04:15
Trinux
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,149
Провел на форуме:
941818

Репутация: 569


По умолчанию
=))) sql-inj в каждом случае своем уникальна. Если это, конечно, не уязвимость какого-нить распространенного скрипта. Если ты думаешь что тут сидят одни телепаты и могут угадать как построен запрос, куда выводится инфа и прочее, то ты ошибаешься.

P.S. IF работает только в диапозоне SELECT, ниже WHERE он не интерпритируется. Да и не нужен он там
 
Ответить с цитированием

  #5  
Старый 04.09.2006, 09:37
podkashey
Познавший АНТИЧАТ
Регистрация: 18.06.2005
Сообщений: 1,004
Провел на форуме:
2821162

Репутация: 1320


По умолчанию
Цитата:
Я же писал, что никакой информации о том, что пользователь существует или нет не выводиться. А пример запроса я получил путем вызова ошибки. Поставил в имени пользователя ' . Мне надо определить выполнился запрос или нет.
ггыы.... Ну все вроде логично - если ошибка, то он не выполнился, а если нет ошибки, то выполнился. Только тебе надо определиться с терминами - запрос может выполниться, только вернуть пустой результат.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
кто играет в www.ganjawars.ru ??? помогите kuppher Болталка 12 26.07.2008 23:38
Посимвольный перебор в базах данных на примере MySQL LoFFi Чужие Статьи 5 30.04.2007 05:05
SQL injection в MySql сервере версии 3,x bandera Чужие Статьи 3 04.06.2006 16:17
Общие Рекомендации Защиты (MySQL и SQL Web-интерфейс) k00p3r Чужие Статьи 0 13.06.2005 11:22
Защищаем MySql. Шаг за шагом k00p3r Чужие Статьи 0 13.06.2005 11:18



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ