Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
19.08.2005, 03:14
|
|
Banned
Регистрация: 11.08.2005
Сообщений: 34
Провел на форуме:
134997
Репутация:
3
|
|
SQL - injection
Пробую сделать SQL injection на одном сайте. Начинаю подбирать кол-во значений таблицы (union select null,null,null/*), короче постепенно увеличиваю кол-во null. Но фишка в том, что я их почти 60 (null) вписал, но эффекта нету =(
Все время сервер возвращает:
Query Error!
The used SELECT statements have a different number of columns
подскажите, что я делаю не так?
К сожалению адресс сайта сказать не могу!
|
|
|
19.08.2005, 03:41
|
|
Banned
Регистрация: 18.05.2005
Сообщений: 1,981
Провел на форуме:
1941233
Репутация:
2726
|
|
1. Бывает и больше чем 60.
2. Почему ты уверен что кавычки не фильтруются. Может получиться
... WHERE id='1\' UNION SELECT ...\''
|
|
|
|
19.08.2005, 03:41
|
|
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,149
Провел на форуме:
941818
Репутация:
569
|
|
все делаешь вроде так, только sql-inj это как нижнее белье прекрасной половины. Каждый раз со своей изюминкой и лично я так на вскидку сказать проблему не могу. Не пощупав белье - трудно сказать что там внутри не так =)
|
|
|
|
19.08.2005, 03:51
|
|
Banned
Регистрация: 11.08.2005
Сообщений: 34
Провел на форуме:
134997
Репутация:
3
|
|
Trinux ты эстэт =)))
КЕЗ я делаю вот такой запрос: id=9999999 union select null,null,null/* и.т.д перебираю нули! Я даже не использую '
Я почему-то думаю что там вряд-ли более 60-ти!
|
|
|
|
19.08.2005, 03:58
|
|
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,149
Провел на форуме:
941818
Репутация:
569
|
|
2 Kez
если фильтруются ковычки, то он бы не сказал, что неверное кол-во столбцов в объеденяемых таблицах. А насчет 60 столбцов... что это за проект такой, который выдерает из БД одновременно 60 полей? =))) думаю, проблема тут в другом
|
|
|
|
19.08.2005, 04:01
|
|
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,149
Провел на форуме:
941818
Репутация:
569
|
|
Скажи хотябы что за клиент SQL там стоит. Может попробовать перебирать не нули, а конкретные данные, например id=9999999 union select 1,2,3/*
итп.
|
|
|
|
19.08.2005, 04:03
|
|
Banned
Регистрация: 11.08.2005
Сообщений: 34
Провел на форуме:
134997
Репутация:
3
|
|
Там MySQL!
|
|
|
|
19.08.2005, 04:31
|
|
Banned
Регистрация: 21.04.2005
Сообщений: 328
Провел на форуме:
632524
Репутация:
9
|
|
А движок известен?
|
|
|
|
19.08.2005, 04:31
|
|
Познавший АНТИЧАТ
Регистрация: 26.11.2004
Сообщений: 1,149
Провел на форуме:
941818
Репутация:
569
|
|
тогда странно. нули в мускуле точно катают. Пробуй больше нулей. Хотя там просто соориентироваться по количеству отображаемой инфы на странице.
|
|
|
|
19.08.2005, 09:27
|
|
Banned
Регистрация: 11.08.2005
Сообщений: 34
Провел на форуме:
134997
Репутация:
3
|
|
там стоит лольный форум, самописный
там всего 3 столбца в форуме
я смотрел в vBulletin и то не 60-т =)
в этом 100%
просто в панике!
лан перепробую до 100 null =(((
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
