pewnie pytanie okaze sie trywialne, nie mniej jednak na jednej ze stron znalazlem błąd związany z przetwarzaniem parametrow.
wyglada mniej wiecej tak, ze po przejsciu na index.php?q1=1&q2=1'dupadupa
dostaje w odpowiedzi błąd sql error srerror.
wszystko pieknie ladnie, ale błąd przedstawia się następująco:
błąd w mysql, podczas '1'dupadupa,10' costam dalej. czyli cokolwiek podstawie za parametr query2, wywala błąd, a treść użytą w ataku przestawia w apostrofach doklejając kawałek zapytania (z tego parametru) w rezultacie wyswiętlając 'kodinjection,10'.
jak ominąc opisany przypadek, zeby wykorzystać podatność?
pzdr