Pokaż wyniki 1 do 2 z 2

Temat: ADOdb a SQL Injection

  1. Domyślnie ADOdb a SQL Injection

    Witam Was Wykryłem pewną małą dziurkę w skrypcie pewnej strony i chciałbym zrobić prztyczka adminowi ustawiając jego nick na np. "chakier.pl" xD. Do rzeczy, strona php, wykorzystuje ADOdb do komunikacji z bazą danych. Oto fragment:

    if (!empty ($_GET['id'])) {
    $xxx = $db -> Execute("SELECT xxx, xxx, xxx FROM xxx WHERE id=".$_GET['id']);

    Możecie mi powiedzieć co wpisać w zmienną GET? Nie jestem pewny ale ADOdb chyba nie wykorzystuje takich rzeczy jak UNION czy zapytanie po średniku. Pomożecie?
    Ostatnio edytowane przez prawie jak haker : 06-09-2007 - 20:19

  2. #2
    Zarejestrowany
    Jun 2007
    Skąd
    Poznań
    Postów
    159

    Domyślnie

    Cytat Napisał prawie jak haker Zobacz post
    ...strona php, wykorzystuje ADOdb do komunikacji z bazą danych. Oto fragment:

    if (!empty ($_GET['id'])) {
    $xxx = $db -> Execute("SELECT xxx, xxx, xxx FROM xxx WHERE id=".$_GET['id']);
    Z tego co jest napisane tutaj wynika, że union nie jest obsługiwane tylko w przypadku błędów w implementacji, więc powinno działać.

    P.S. a skąd wiesz, że na GET['id'] nie jest nałożony jakiś sanity check ?

Podobne wątki

  1. ipw3945 injection
    By dexter in forum Wardriving
    Odpowiedzi: 5
    Autor: 06-01-2007, 14:59
  2. SQL injection - skanery do testowania.
    By Mad_Dud in forum Bazy danych
    Odpowiedzi: 1
    Autor: 05-21-2007, 07:58
  3. pomocy z zapytaniem SQL :)
    By mendi in forum Newbie - dla początkujących!
    Odpowiedzi: 2
    Autor: 04-29-2007, 12:55
  4. Sql database bug - problem
    By carbon in forum Hacking
    Odpowiedzi: 10
    Autor: 03-28-2007, 22:00
  5. zastrzyki sql
    By ble34 in forum Newbie - dla początkujących!
    Odpowiedzi: 20
    Autor: 11-04-2006, 22:14

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj