Есть несколько инъекций в mssql, где фильтруются символы "," и ";" Инъекции в целочисленном значении, результаты запроса id=10 и запроса id=0xA одинаковы. Можно ли как-нибудь с помощью 0x... или другими способами обойти фильтрацию?
PHP: <title>Encoding to char by Goudini 2006</title> <style> body {background-color:#333333;font-family:Verdana, sans-serif; font-size:12px; color:#C0C0C0;} </style> <form action="<?=$_SERVER["SCRIPT_NAME"]?>" method="post"> <b>String</b> : <input type=text name="input" value="<?=htmlspecialchars(@$input)?>"> <input type=submit value="to chr"> </form> <? error_reporting(0); $input=stripslashes($_POST["input"]); if ($input!=""){ echo "<b>PHP:</b> <tt>"; for ($i=0;$i<strlen($input);$i++) { if ((strlen($input) - $i) == 1) echo "chr(".ord($input[$i]).")</tt>"; else echo "chr(".ord($input[$i]).")."; } echo "<br>\n<b>MySQL:</b> <tt>char("; for ($i=0;$i<strlen($input);$i++) { if ((strlen($input) - $i) == 1) echo ord($input[$i]); else echo ord($input[$i]).","; } echo ")</tt>"; } else echo "<b>Goudini</b> (c) 2006"; ?> чё-то типо того)
