Mssql Иньекция, вопрос.

Как по другому написать from в запросе типо

select top 1 imbopass from table

Варианты

Никак,
f/**/r/**/o/**/m,
f/*coment*/r/*coment*/o/*coment*/m,
FrOm,
FROM

Не предлагать.

 

%66%72%6f%6d
%25%36%36%25%37%32%25%36%46%25%36%44
тоже не предлогать

 

Кто додумается кулю шоколадку с орехами!

 

[ cash ], попробуй пост-запросом отпарвить. Мб только гет фильтруется, у меня такое было однажды...

 

... это я пробую в первую очередь...

 

в mssql "(" начинает функцию или масив, сдесь она нечего не начинает...

 

бр.. тупанул, а в чом собственно суть проблемы?

 

FraiDex каким образом?

 

id=asd+from+asd
Incorect synrax 'from'

id=~asd+from+asd
302

id=1+or+1=(select+asd+asd)
Invalid column name 'asd'.

id=1+or+1=(select+asd+from+asd)
302

 

frfromom не предлагать не поперло 302 но идея понравилась!

 

Ээ ну так если ругается на синтаксис рядом со словом from, значит, оно не фильтруется! И запрос идет.

 

ты гений

не фильтруеться я не говорил что фильтруеться.
302 moved

 

Спасибо, знаю.
А зачем тогда спрашивать, как слово from написать иначе? Да и вообще, что за странные вопросы от мастера SQL инъекций?

Линк в студию.

 

200 - это ок
302 - мувд

 

линка не будет по многим причинам...
Задам вопрос по другому, как сформулировать запрос к базе с выводом колонки из таблицы в TSQL не используя слова FROM.

ps фром или весь зпрос могут быть закодированные тока как.

 

....

 

я не говорил про селект =(

 

а версия серва какая?

 

2005 x86

 

омг, а decryptbykey() EncryptByKey() не пробывал?
а, хотя нет, туплю...