Pokaż wyniki 1 do 10 z 11

Temat: Sql database bug - problem

Hybrid View

Previous Post Previous Post   Next Post Next Post
  1. #1

    Domyślnie Sql database bug - problem

    Witam ponownie,

    Czy ktoś z Was bawił się kiedyś błedami sql w stronach www? Osobiście znam się trochę na php & sql, ale mam pewnien problem; Zobaczcie sami na poniższych przykładach:


    oto strona nr 1 z oryginalnym adresem:

    Kod php:
    http://www.mathtoearth.org/forum/questions/questionlist.php?query=SELECT%20DISTINCT%20id,%20questiontext,%20authorid,%20date,%20answered%20FROM%20questions%20WHERE%201=1&page=0&limit=1 
    Strona na 100% wykonuje zapytanie sql, wystarczy wpisać parę bzdur i pojawi się błąd.

    Chcę wykonać np.: takie zapytanie:

    [PHP]http://www.mathtoearth.org/forum/questions/questionlist.php?query=UPDATE questions SET questiontext = "Shackowane pytanie."[PHP]

    i to już nie dizała... Próbowałem doklejać nowe zapytanie za pomocą UNION, ale bez skutku...


    Dzięki za odpowiedź,
    Pozdrawiam

  2. #2
    Zarejestrowany
    Oct 2006
    Skąd
    krzesło
    Postów
    681

    Domyślnie

    co strona genialna wogóle
    http://www.mathtoearth.org/forum/authors/authors.php
    http://www.mathtoearth.org/forum/

    no cały szkopół w określeniu nazw tabel
    np
    http://www.mathtoearth.org/forum/questions/questionlist.php?query=SELECT * FROM questions
    wykonuje się prawidłowo
    więc mógłbys wyciągnąć wszytko co chcesz tylko musisz wiedzieć co i zkąd
    Ostatnio edytowane przez ble34 : 03-28-2007 - 18:02

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Po prostu questionlist.php nie pozwala na zmienianie danych i ma na sztywno zakodowane nazwy zadan... to ze zaptanie SQL jest w URLu nie znaczy ze program jest podatny na SQL Injection, choc nie mowie ze nie jest - nie sprawdzalem i nie mam teraz czasu na to.
    Zauwaz ze pisal to matematyk programista :-) wiec na pewno dobrze przemyslal zalozenia zacznim zaczal cos robic
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  4. #4

    Domyślnie

    Nazwy tabel są podane :P za SELECT DISTINCT Dziwne jest to, że ludzie odsłaniają query :/

  5. #5
    Zarejestrowany
    Oct 2006
    Skąd
    krzesło
    Postów
    681

    Domyślnie re

    dobra to są rzecy które mja bycpobrane z questions
    ale cała baza danych moze miec chyba owiele więcei rekordów
    doktórych mógł byś sieodwołać gdybyś znał nazwy

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    ble34 tu nie chodzi o nazwy i ich znajomosc lub nie... tu chodzi o to ze skrypt do wyswietlania pytan moze miec na przyklad uprawnienia tylko do robienia SELECT'ow i nic inne nie zadziala... to na prawde proste!
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Podobne wątki

  1. Hacking to database
    By Nunk in forum Hacking
    Odpowiedzi: 4
    Autor: 03-04-2007, 11:57
  2. zastrzyki sql
    By ble34 in forum Newbie - dla początkujących!
    Odpowiedzi: 20
    Autor: 11-04-2006, 23:14

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj