Всем добрый вечер. Хочу задать вопрос, самому разобрать никак не выходит. Итак, имеет место рабочая инъекция, вызванная отсутствием фильтрации параметров (в параметр передается диапазон чисел через тире, например 10-15, и они без изменений подставляются в запрос) Вероятнее всего используется простой explode. Проблема состоит в следующем - в нужной схеме базы в названии так же присутствует "-", в следствие чего вся часть после "-" включительно отбрасывается и получить данные из этой схемы не получается (пример нужной таблицы например такой "Site-stat.users", в качестве текущей схемы стоит "Site_data"; при попытке запроса "from Site-stat.users" вываливается ошибка "Table 'Site_data.Site' doesn't exist") Есть ли какая-нибудь возможность через стандартные функции MySQL все таки получить доступ к схеме (к примеру через HEX представление имени схемы)?
Explode в PHP скрипте все равно откусит нужную часть, останется только ... 'Site Тут нужно каким-то образом подменить "-". Пока из доков создается ощущение, что проделать такое нереально
