Encuesta
|
Pregunta: |
Valora el artículo
Excelente |
70 (63.6%) |
Bueno |
26 (23.6%) |
Pasable |
7 (6.4%) |
Malo |
0 (0%) |
Pésimo |
7 (6.4%) |
|
|
Total de votos: 101 |
|
Autor
|
Tema: SQL Injection para principiantes, ejemplos en aplicaciones reales. (Leído 96,174 veces)
|
Ertai
|
En el tutorial dice que pongamos stripslashes() en el codigo, pero que pasa si no existe esa funcion en el codigo? el bug que mensionaron en el phpbb2 ¿El codigo contiene stripslashes() ??
La función sirve para simular un servidor que no tuviera las magic_quotes activadas. Tal como hacemos la inyección, el servidor con las magic_quotes activadas pondrá una barra invertida ( \ ) delante de la comilla simple ( ' ). La función stripslashes() hará el efecto contrario, anulando así el efecto de las magic_quotes, al fin y al cabo, esto es una prueba de concepto... Pero ¡ojo! sigue siendo un bug Saludos.
|
|
|
En línea
|
Si la felicidad se comprara, entonces el dinero sería noble. void rotar_by_ref(int& a, int& b) { /* Quien dijo que no se podia sin una variable temporal? */ *a = *a ^ *b; *b = *a ^ *b; *a = *a ^ *b; }
|
|
|
ramzax200
Desconectado
Mensajes: 2
|
no pos ta cañon que un servidor tenga magic_quotes desactivadas ya que eso viene por default en On no?
|
|
|
En línea
|
|
|
|
Ertai
|
no pos ta cañon que un servidor tenga magic_quotes desactivadas ya que eso viene por default en On no?
No. A partir de PHP 5 ya si.
|
|
|
En línea
|
Si la felicidad se comprara, entonces el dinero sería noble. void rotar_by_ref(int& a, int& b) { /* Quien dijo que no se podia sin una variable temporal? */ *a = *a ^ *b; *b = *a ^ *b; *a = *a ^ *b; }
|
|
|
Casidiablo
|
A mi no me funciona el UNION. Ni desde el navegador, ni desde la consola de mysql. Que hago???
|
|
|
En línea
|
|
|
|
Ertai
|
Te sale algun error?
|
|
|
En línea
|
Si la felicidad se comprara, entonces el dinero sería noble. void rotar_by_ref(int& a, int& b) { /* Quien dijo que no se podia sin una variable temporal? */ *a = *a ^ *b; *b = *a ^ *b; *a = *a ^ *b; }
|
|
|
Casidiablo
|
Por ejemlpo: ERROR 1064: You have an error in your SQL syntax near 'union select * from carrera' at line 1 Saludos!!!
|
|
|
En línea
|
|
|
|
Ertai
|
Y pon tambien lo que le metes a la URL para que de ese error, sino es imposible ayudarte.
El error SQL es el típico genérico.
Si quieres el error más detallado puedes modificar el código para que te imprima la sentencia SQL y meterla en el phpMyAdmin, que da errores más precisos.
Saludos y postea lo que inyectas.
|
|
|
En línea
|
Si la felicidad se comprara, entonces el dinero sería noble. void rotar_by_ref(int& a, int& b) { /* Quien dijo que no se podia sin una variable temporal? */ *a = *a ^ *b; *b = *a ^ *b; *a = *a ^ *b; }
|
|
|
cazanova
Desconectado
Mensajes: 45
|
wenas, intente usar hosting gratuito de lycos y cuando entraba al install.php y metia los datos me salia esto
"This script will create the database tables needed by ssLinks v1.22."
ps imagino que eso debe salir, eso kiere decir que ya se creo la database no?
bueno entro al links.php y me sale esto
"An error has caused the script to terminate abruptly. Here is the error message:
Unable to connect to database server."
y no me explico por que sucede, imagino que no puede conectarse a la database delycos o algo asi
los datos del install.php que puse fueron Database Host : localhost Database Username : xxxxxx Database Password : xxxxxx Database Name : sslink
tambien probe con Database Host : usuarios.lycos.es Database Username : xxxxxx Database Password : xxxxxx Database Name : sslink
igual probe con el AppServer y al iniciar el links.php me aparecia un error de que no encontraba ciertas cosas o algo asi y bueh..me rendi xD
alguien que me ayude? D:
|
|
|
En línea
|
|
|
|
jankoitt
Desconectado
Mensajes: 6
|
buena explicacion soy principiante y tengo algunas dudas.. como sabes que tipo de base de datos esta corriendo el host remoto? Otra cosa seria como sabes las tablas a las cuales debes llamar sin haber visto el source de las aplicaciones y las variables por ejemplo.. anduve buscando por ahi y encontre una web que creo y es vulnerable ya que al intentar poner el -1 o letras en la variable ?cod_art= no me devolvio ningun error... aqui el link: http://www.tucelular.com.do/ver_articulo.php?cod_art=501 salu2
|
|
|
En línea
|
|
|
|
Net_Runner
Desconectado
Mensajes: 2
|
Hola, se que es un post viejo, disculpen si es inapropiado revivir este post.
Estoy trabajando en este tema, llevo varios días buscando información y recreé el escenario propuesto.
Me asalta la gran duda de por qué un scanner como acunetix (versión 4) no lo reporta como SQL injectión, sino como XSS.
Me gustaría saber si existe la posibilidad de que alguien me diga como sería posible recrear este u otro escenario similar de forma que aparezca como vulnerable a injección SQL en un escanner.
Gracias de antemano!
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Ejemplos scripts PHP para Banear IP y Rangos de IP's
PHP
|
el-brujo
|
0
|
10,503
|
1 Junio 2012, 20:58 pm
por el-brujo
|
|
|
Ataques XSS avanzados a aplicaciones webs: 3 Ejemplos
Nivel Web
|
MichBukana
|
2
|
4,527
|
27 Octubre 2013, 20:18 pm
por Shout
|
|
|
Tutoriales ejemplos para trabajar con arrays ?
.NET (C#, VB.NET, ASP)
|
luis456
|
2
|
2,810
|
20 Diciembre 2013, 16:18 pm
por luis456
|
|
|
Soluciones científicas reales para no extinguirnos
Foro Libre
|
Eleкtro
|
5
|
3,286
|
15 Enero 2020, 00:58 am
por engel lex
|
|