HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > ПРОГРАММИРОВАНИЕ > PHP
Перезагрузить страницу Помогите с запросом Mysql
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Помогите с запросом Mysql
  #1  
Старый 04.09.2006, 02:30
Zazil
Познающий
Регистрация: 17.02.2005
Сообщений: 39
С нами: 11171966

Репутация: 1
Question Помогите с запросом Mysql
Имеется запрос вида select * from users where username=' <-- sql injection

Нужно составить запрос чтобы можно было подобрать имена пользователей. Запросы вида select * from users where username='nosuer' or username like '% не проходят так, как никакой информации о результате выполнения запроса после этого не выводится и соответственно не возможно таким образом определить выполнение или невыполнение условия.
На сколько я помню, есть возможность определить выполнение запроса с помощью if и benchmark.

Помогите составить запрос, спасибо.
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 04.09.2006, 02:51
Trinux
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,149
С нами: 11291306

Репутация: 569


По умолчанию
тебе нужны именно имена пользователей? дай урл глянуть как и что выводится на страницу, чтобы понять. И распиши подробнее что нужно

P.s. я не хакер и "твой" сайт с его логинами и пассами мне не нужен
 
Ответить с цитированием

  #3  
Старый 04.09.2006, 03:01
Zazil
Познающий
Регистрация: 17.02.2005
Сообщений: 39
С нами: 11171966

Репутация: 1
По умолчанию
Я же писал, что никакой информации о том, что пользователь существует или нет не выводиться. А пример запроса я получил путем вызова ошибки. Поставил в имени пользователя ' . Мне надо определить выполнился запрос или нет.
 
Ответить с цитированием

  #4  
Старый 04.09.2006, 04:15
Trinux
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,149
С нами: 11291306

Репутация: 569


По умолчанию
=))) sql-inj в каждом случае своем уникальна. Если это, конечно, не уязвимость какого-нить распространенного скрипта. Если ты думаешь что тут сидят одни телепаты и могут угадать как построен запрос, куда выводится инфа и прочее, то ты ошибаешься.

P.S. IF работает только в диапозоне SELECT, ниже WHERE он не интерпритируется. Да и не нужен он там
 
Ответить с цитированием

  #5  
Старый 04.09.2006, 09:37
podkashey
Познавший АНТИЧАТ
Регистрация: 18.06.2005
Сообщений: 1,004
С нами: 10997666

Репутация: 1320


По умолчанию
Цитата:
Я же писал, что никакой информации о том, что пользователь существует или нет не выводиться. А пример запроса я получил путем вызова ошибки. Поставил в имени пользователя ' . Мне надо определить выполнился запрос или нет.
ггыы.... Ну все вроде логично - если ошибка, то он не выполнился, а если нет ошибки, то выполнился. Только тебе надо определиться с терминами - запрос может выполниться, только вернуть пустой результат.
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
кто играет в www.ganjawars.ru ??? помогите kuppher Болталка 12 26.07.2008 23:38



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.