panowie i panie
czy to waszym zdaniem jest podatne na sql injection
bo aj sobie to napisałem zeby siępobawić na sererze własnym w sql injectionKod php:
$a = mysql_guery("SELECT * FROM usersis WHERE username='$_GET[id]'");
atu co sie dzieie nic
podstawiam za $_GET['id']
separtory , apostrofy i inne pierdoły
i niemam nawet errora
dodaje union selecty i nic się niedzieje
a dlaczego ano chyba ddlatego że
jesli podstwaie za $_GET['id']
apostrof
to zapytanie wyglada tak
a ponieważ urzytkownik apostrof nieistniejeKod php:
$a = mysql_guery("SELECT * FROM usersis WHERE username=''");
tozwracany jest pusty rekord
to samo przy dodawaniu na wszelki sposoby union select tzn( z fałszowaniem pierswszei częsci zapytanie , dodawniem selecta po separatorze ) poprostu nic się niedzieie
Noi własnie bo ja już teraz nierozumie kiedy aplikacja jest podatna na sql
injection a kiedy niejst
amoże mam tak zkonfigurowane php.ini
czy coś nieiwiem
skrypt jest tutaj
http://www.ble-34.yoyo.pl/podatny.php
jak komuś się chce to może sie pobawić
prosze tylko o informacje czy mu się udało