|
Título: Inyección sql Publicado por: IMAC en 11 Diciembre 2007, 19:50 pm Buenas, he posteado esto antes en la sección de programación, pero creo que me equivoqué de lugar. Espero que este sea el adecuado.
La cuestión es que mirando una página me encontré con esta url: https://unaweb.com/ver.php?id=202 Y entonces me planté probar su seguridad con esta tontada: https://unaweb.com/ver.php?id='a' Y fue entonces cuando saltó el siguiente error: Código: SELECT id_user FROM user WHERE status = 1 AND id_pagina =\'a\' Con esto veo que tiene magic cuotes activado o bien alguna función que inhabilita los caracteres especiales '. Me preguntaba sin con esta información de la tabla, la fila y demás podría llevar a cabo alguna acción a pesar de las magic cuotes. Saludos. Título: Re: Inyección sql Publicado por: Thor en 24 Diciembre 2007, 01:29 am Con tal de no usar las comillas....
https://unaweb.com/ver.php?id=1 union select campo from user /* Código: SELECT id_user FROM user WHERE status = 1 AND id_pagina =1 union select campo from user /* Creo que debería funcionar :-\ |