Pokaż wyniki 1 do 6 z 6

Temat: SQL Injection

  1. #1
    Zarejestrowany
    Feb 2009
    Postów
    11

    Domyślnie SQL Injection

    Witam!
    Na forum jestem nowy, więc za wszelkie niedopatrzenia z mojej strony, przepraszam i proszę o wyrozumiałość.
    Od 3 lat interesuję się programowaniem, jednak dotąd nie grzebałem w sieci. Ostatnio bawię się trochę w MySQL'a - stąd moje pytanie, a w zasadzie ich parę.
    Załóżmy, że mam dziurawą stronę i po zmiennej wpisuję -1. Błąd znika - dlaczego tak się dzieje? potem dopisuję -1 union select 1/* - błąd się pojawia, ponieważ jest nieprawidłowa liczba kolumn. Jednak na każdej stronie, choćbym wpisał i 25 kolumn (1,2,3,4,5,6...) błąd nie znika. Dlaczego?
    Siedze nad tym kolejny dzień, ale nic mi nie przychodzi do głowy, dlatego się tu zarejestrowałem.
    Za wszelkie nieścisłości, przepraszam.
    Pozdro,
    BV.

  2. #2
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    sa rozne powody i techniki, moga byc
    + zamieniane na /**/
    zamiast /* na koncu to --
    i wiele innych.
    War, war never changes.

  3. #3
    Zarejestrowany
    Feb 2009
    Postów
    11

    Domyślnie

    Aż tak zielony to nie jestem.. wiem, jakie są komentarze ;d
    Ciekawi mnie jeszcze jedna rzecz
    chcę wyciągnąć hasło
    http://strona/skrypt.php?id=-1 union select 1,2,3,4,5,6,7,8--
    Po podstawieniu 4 na public_usrs wygląda to tak
    http://strona/skrypt.php?id=-1 union select 1,2,3,public_usrs,5,6,7,8--
    I jest ok, ale zauważyłem, że jak w miejsce to wpiszę klauzule np delete lub jakąkolwiek inną
    http://strona/skrypt.php?id=-1 union select 1,2,3,drop,5,6,7,8-- wywala mi syntaxa Dlaczego tak się dzieje? Czy nie powinno tego ignorować?

  4. #4
    Avatar Mandr4ke
    Mandr4ke jest offline Bez Teamowiec
    Zarejestrowany
    Oct 2008
    Skąd
    W Sieci !!!
    Postów
    282

    Domyślnie

    Cytat Napisał BlueV Zobacz post
    http://strona/skrypt.php?id=-1[/url] union select 1,2,3,drop,5,6,7,8-- wywala mi syntaxa Dlaczego tak się dzieje? Czy nie powinno tego ignorować?
    ? Jaki masz błąd ?
    "Wszystkie komputery PC są kompatybilne, ale niektóre są kompatybilniejsze od innych... Twój jest zawsze mniej kompatybilny..."

  5. #5
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    War, war never changes.

  6. #6
    ptz
    ptz jest offline
    Zarejestrowany
    Feb 2009
    Postów
    15

    Domyślnie

    No zeby bledu nie bylo to zazwyczaj docelowe zapytanie SQL musi byc poprawne. Injection zaburza to zapytanie, czasem tak ze jest ono po prostu niepoprawne (blad).

    Sztuka w tym zeby docelowe zapytanie bylo a) poprawne b) cos dajace
    Jak to zrobic? Trzeba sie domyslic Jak sie domyslic? trzeba miec troche doswiadczenia

    tx.

Podobne wątki

  1. Sql Injection
    By xbitdesigns in forum Inne metody
    Odpowiedzi: 2
    Autor: 01-03-2015, 09:06
  2. SQL injection
    By Quers in forum Newbie - dla początkujących!
    Odpowiedzi: 4
    Autor: 06-30-2008, 05:22
  3. sql injection
    By h3x in forum Hacking
    Odpowiedzi: 4
    Autor: 05-15-2008, 17:48
  4. sql injection na real.pl
    By michalski007 in forum Hacking
    Odpowiedzi: 17
    Autor: 02-05-2008, 22:12
  5. sql injection
    By ble34 in forum Security
    Odpowiedzi: 7
    Autor: 06-13-2007, 15:45

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52