mysql_real_escape_string — ANTICHAT Forum

13.12.2011, 12:31

Pirotexnik

Постоянный

Регистрация: 13.10.2010

Сообщений: 375

Провел на форуме:
97332

Репутация: 38

Здравствуйте. Поставил DVWA, тренируюсь.

На 2-х уровнях безопасности провел инъекцию, на 3-м стоит сабж.

Как я понял обойти его можно, даже нужно. Только как?

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]mysql_error[/COLOR][COLOR="#007700"]() .[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"]); 

[/COLOR][COLOR="#0000BB"]$num[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_numrows[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$result[/COLOR][COLOR="#007700"]); 

[/COLOR][COLOR="#0000BB"]$i[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]; 

        while ([/COLOR][COLOR="#0000BB"]$i[/COLOR][COLOR="#007700"]'[/COLOR][COLOR="#007700"]; 

            echo[/COLOR][COLOR="#DD0000"]'ID: '[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'
First name: '[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$first[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'
Surname: '[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$last[/COLOR][COLOR="#007700"]; 

            echo[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"]; 

[/COLOR][COLOR="#0000BB"]$i[/COLOR][COLOR="#007700"]++; 

        } 

    } 

} 

[/COLOR][COLOR="#0000BB"]?>[/COLOR][/COLOR]