Buenas,estuve viendo una pagina que tenia un sistema de noticias pero esta vez no estaba orientado a bases de datos mysql , si no a php con sql server 2000.

http://web.com/noticias/noticia.php?id='

Al poner eso obtenia un error como este.

Warning: mssql_query() [function.mssql-query]: message: Error al convertir el tipo de datos varchar a bigint. (severity 16) in C:\AppServ\www\noticias\noticia.php on line 109

si ponia en el id = 1

se imprimia la noticia uno , en 2 se imprimia la 2.

trate de formular la consulta mssql.

y creo que queda asi

$consulta=Select from noticias where id="$_GET['id']"


Yo habia leido que en sql server se podian hacer consultas con update, delete unido al select.

por lo que probe fue

id=' Update character set resets = 300 where name='volteo' --

El mismo error , cuando dice que no puede convertir datos varchar a bigint quiere decir que no puede convertir la cadena que paso por get a bigint ?? no funciona por la funcion de conversion la inyeccion?

Hay alguna manera de saltearme esta conversion ?


PD : SE TRATA DE UN JUEGO ONLINE DONDE LOS PERSONAJES ESTAN EN LA TABLA CHARACTER Y ALLI ESTA GUARDADO LOS RESETS , EL ORO ETC ETC.

gracias.

WTF

Prueba a poner '300' con comillas para que lo trate de cadena

Probaste con Convert()?

Nop,sin salidas, solo acepta numeros enteros , no acepta la funcion convert() ni siquiera comentarios en mssql.

gracias igual .

Aquí les dejo la pagina por si alguien quiere hacer pruebas.

http://infe.zapto.org/noticias/noticia.php?=&id='