bboytwist
Можно ли выполнить SQL запрос (INSERT,DELETE и т.п) через недостаточную фильтрацию $_GET переменной?
20 Ноя 2010, 15:17bboytwist
Можно ли выполнить SQL запрос (INSERT,DELETE и т.п) через недостаточную фильтрацию $_GET переменной?
20 Ноя 2010, 15:17Dogma
если эта гет переменная обращаеца кудато в mysql_query(блавлавбыалвыб $_GET['trololohack'] блвбпл) то да)
20 Ноя 2010, 15:18bboytwist
а можеш пример такой навести?например:
http://test.ru/id=mysql_query и т.д
Okula
Если $_GET переменная отфильтрована то такой запрос тебе ничего не даст.
А так это SQL-инъекция называется.
bboytwist
4 СПАСИБО!Но я знаю как это называется и что это такое)
Я просто прошу показать пример инсерта или делита через гет строку и всё
Dogma
http://test.ru/id=-1'union+{тут твой запрос}
тоесть
http://test.ru/id=-1'union+select+abc,bac,cab+from+bca
Replikon
Че за хрень? Я пытался взломать свой же скрипт, в котором перед этим специально сделал дыру, так ничего не получилось. 