Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты

Как работают SQL Инъекции

Как работают SQL Инъекции Программирование, SQL, Sql injection, Симпсоны, Профессиональный юмор, Длиннопост
Программирование SQL Sql injection Симпсоны Профессиональный юмор Длиннопост
37
Вы смотрите срез комментариев. Показать все
5
Аватар пользователя botka4aetbotka4aet
Автор поста оценил этот комментарий

Недопустимое имя. Используейте только буквы а-я,А-Я,a-z,A-Z

раскрыть ветку (7)
2
Аватар пользователя ZhopaPutinaZhopaPutina
Автор поста оценил этот комментарий

Шлю напрямую через POST в обход формы

раскрыть ветку (6)
2
Аватар пользователя JeStoneJeStone
Автор поста оценил этот комментарий

думаю он имел ввиду, что в DROP TABLE нельзя использовать в качестве имени звездочку (необрамленную двойными кавычками, квадратными скобками, обратными апострофами и т.д. в зависимости от СУБД), получишь синтаксическую ошибку во время парсинга запроса

P.S.: а хотя... я подумал и решил, что он какую-то хуйню имел ввиду (возможно валидировать данные на сервере). Тем не менее SQLI не валиден

раскрыть ветку (4)
DELETED
Автор поста оценил этот комментарий
ну вот мы и получили крткий мнуал как ПРАВИЛЬНО руинить дырявые сайты) всем спасибо - меняйте теги в посте)
pastil
Автор поста оценил этот комментарий
все равно будет ошибка, даже если в базе есть таблица *
раскрыть ветку (2)
Аватар пользователя JeStoneJeStone
Автор поста оценил этот комментарий

если сделать так: 
DROP TABLE `*`; (для mysql)
DROP TABLE [*]; (для mssql)
DROP TABLE "*"; (для mssql, postgresql)
то не будет. Но в таком виде, как написал автор, да - будет ошибка, о чем я и написал выше

раскрыть ветку (1)
2
pastil
Автор поста оценил этот комментарий

вот именно ";", вот именно

Аватар пользователя poplakapoplaka
Автор поста оценил этот комментарий
Экранируем специальные символы на стороне сервера.
Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку