You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near ')%') and (entities.keywords like '%order%' or entities.name li Дальше невидно и в исходнике обрывается Сразу говарю недавно заметил что это оказывается строка поиска и если в ней ввести ( ' ) вылезает такая ошибка которую я выше писал.
похоже на то что после 1') ничего в запрос не пошло, може после пробыла все режеться, попробуй 1%')/**/order/**/by/**/1/*
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'order/**/by/**/1/*%' or entities.description like '%1%')/**/ord Вот че выводит
Возможно что тот запрос в котором ошибка вставляеться значения из другого запроса или это переменая вставляеться несколько раз, но самое плохое судя по ответу почему то что не проходит финт с коментом /*, то есть остальной запрос не закрываеться(и вполне возможно что запрос многострочный и -- и # не проканает), если бы видеть всю ошибку.
Народ а че все прицепились к order может есть какие идеи через другое ченють. Может че то с оператором like тут связанно? Вот ещё при ( ' order by 1/* ) выводит Code: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'order%' or entities.name like '%order%' or entities.description Если смотрять концовку то тут видео name like '%order%' or entities.description А в остольных он выводил до name li это по моему и есть продолжение всех выводов заканчивающихся на name li. P.s если кто хочет помочь чтобы не ждать и не засорять форум стучите в аську 1106663
Cудя по всему входная переменая которая вставляестся в запрос дробиться по пробелам на составляюшии, да и не узаю ff 3 ветки для sql injection.
может кто ткнет в носом с статью в которой расматривается октрытие порта на удаленном сервере, конект к данному порту неткатом. и т..д.. (зі ткните в меня этим неткатом, поиск дает лишь кмс неткат) к сожалению кроме двух видео ничего не нашел. спасибо.
переменая вставляеться в 2 запроса а потом еще и на оснавании этих зопросов какое то значения вставляеться в 3 запрос(а может дальше еще в один) или например проверка на is_numeric в 3 запросе.
Ты правда думаешь, что это ему что-то даст? 2TELO: Code: http://mega-porno.ru/video.php?category=1')+order+by+1--+ 5-ая ветка: Code: http://mega-porno.ru/video.php?category=1'+and+substring(version(),1,1)='5
Нашёл багу, всё стандартно "You have an error in your SQL syntax",но при подборе столбцов order by вместо Unknown column '100' появляется Unknown column 'foto2' in 'field list'. Как быть?