Вот проблемка с sql-inj. Может кто пользовался и знает как запрос составить: http://myserver/forum/index.php?showtopic=[anytopic]&pid=1&st=-1[sql] и можно ли вообще? Эх... надо будет sql поучить =(
ну да инъекция, ты внедряешь -1 вместо ВЕРНОГО значения, что приводит к ошибке, но происходит это лишь из-за неправельного фильтра, кроме отриц. значений ты туда ничего не вставишь
Приветствую вас господа! Есть еще такая штука Code: http://[target]/forums/index.php?act=Members&max_results=30&filter=1&sort_order=asc&sort_key=name&st=SQL_INJECTION Пробовал по разному. Там все обламывает, то что в самом запросе есть ORDER, поэтому UNION не заюзаешь. Code: SELECT m.name, m.id, m.posts, m.joined, m.mgroup, m.email,m.title, m.hide_email, m.location, m.aim_name, m.icq_number, me.photo_location, me.photo_type, me.photo_dimensions FROM ibf_members m LEFT JOIN ibf_member_extra me ON me.id=m.id LEFT JOIN ibf_groups g ON m.mgroup=g.g_id WHERE m.id > 0 AND m.mgroup='1' AND g.g_hide_from_list <> 1 ORDER BY m.name asc LIMIT <sql_inject>,30 Знакомый говорит, что через это ломал, а мне не говорит как =) Вот ломаю голову.. Может кто подскажет как сделать?
Просто мессага ненормально написана. Надо по ссылке щёлкнуть. Вот Code: http://[target]/forums/index.php?act=Members&max_results=30&filter=1&sort_order=asc&sort_key=name&st=SQLINJ
Простите,что поднял тему. Но в тему Code: index.php?act=Online&st=-1[здесь ваша SQL иньекция] Можно с этим что нить сделать?
