Основной раздел > Мотошкола
Про езду в междурядьи...
garfik:
это поймут только программисты :trolldad:
Cherny_Prapor:
--- Цитата: stalker от 14.07.2016 16:53:31 ---Запрос неправильно написан, либо база называется TABLICE :)
Синтаксис: DROP DATABASE { database_name | database_snapshot_name } [ ,...n ] [;]
--- Конец цитаты ---
То есть, "ZU 0666 блаблабла" в начале скрипта тебя не смущает? :D
Тут, кагбэ, не в деталях хохма, а самом факте :)
stalker:
--- Цитата: Cherny_Prapor от 15.07.2016 13:20:41 ---То есть, "ZU 0666 блаблабла" в начале скрипта тебя не смущает? :D
Тут, кагбэ, не в деталях хохма, а самом факте :)
--- Конец цитаты ---
Абсолютно не смущает! Это же SQL инъекция.
Вот смотри, есть предположение, что там происходить что то вроде INSERT INTO <tablename> (date, time, <ещё какое нибудь дерьмищечко>, '<распознанный номер>', 0, 0);
При этом номер берется с распознащего ус-ва, предположительно в формате char, varchar или text. В реультате же получается запись вида INSERT INTO <tablename> (date, time, <ещё какое нибудь дерьмищечко>, 'ZU 0666', 0, 0); DROP DATABASE <bla bla bla>; 0, 0);
Последние 0, 0); конечно выкинут ошибку, но первые 2 запроса отработают.
Cherny_Prapor:
Это если там инсерт, да ещё и параметры данного запроса знать надо. А если там where? Свалится всё нахрен.
P.S. Щас Евл нас банхаммером захерачит :visilica:
_JD_:
Кстати, когда первый раз увидел это фото, достаточно давно, тоже долго обдумывал идею такого SQL injection, а так же вопросами на сколько должен или не должен тестировщик запариваться на такие вещи ))
Ох уж этот пытливый ум русского ИТ-шника :trolldad:
Навигация
Перейти к полной версии