sql injection

HackForum

sql injection#
Ahoj,

Snazim se postavot dotaz na drop table tabulka přes like, nemuzu na to prijit fakt jsem oskousel hodne kombinaci bouzel nic. Porad mi to ukazuje neco ve stylu

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'DROP TABLE f_index_new LIKE '%"%'' at line 1
(odpovědět)
anonIm | 66.249.81.73/37.188.225.*17.7.2014 0:48
re: sql injection#
Jestli se nepletu, tak syntaxe DROP TABLE neumožňuje používat LIKE.
BTW: Co přesně ve výše uvedém injektuješ a čeho se snažíš dosáhnout?

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP17.7.2014 9:31
re: sql injection#
no jo, neni nad to zacinat misto teorie pokusem o dropnuti databaze
(odpovědět)
x | 193.200.150.*17.7.2014 9:38
re: sql injection#
Snažím se dropnout databazi mam sql dotaz nq vyhledavani nevim presne jak vypada ale je tam pouzit LIKE

Mam ozkouseno
105; DROP TABLE f_index_new
' TRUNCATE TABEL fusion_users;--
apod.. ale pořád mi to píše syntax error
(odpovědět)
anonIm | 66.249.81.73/37.188.136.*17.7.2014 12:17
re: sql injection#
Ten web je postaven PHP? Pokud ano, tak nejde zřetězovat příkazy a drop se ti tedy nepovede.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP17.7.2014 12:22
re: sql injection#
Ono by to šlo. Ale pak zase narazíš na restrikce při kombinaci různých typů dotazu (SELECT a SELECT půjde, ale SELECT a DROP ne).

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website17.7.2014 12:39
re: sql injection#
Myslíš tím, že jde "select ze selectu", nebo zřetězení příkazů: "select...; select..."?

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP17.7.2014 13:47
re: sql injection#
Samozřejmě jsem myslel SELECT ze SELECTu.

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website17.7.2014 16:06
re: sql injection#
už i PHP umí v 5. verzi multi query, viz [link] takže se je na co těšit.
(odpovědět)
Emkei | E-mail | Website | PGP22.7.2014 13:26

Zpět
 
 
 

 
BBCode