| Сейчас на форуме: igorcauret (+7 невидимых) |
 |
eXeL@B —› Вопросы новичков —› SQL injection. Превышение диапазона |
| Посл.ответ | Сообщение |
|
|
Создано: 27 декабря 2014 18:28 · Личное сообщение · #1 Как использовать данную ошибку? Большое число идет в первый аргумент LIMIT. А что дальше? http://skripters.com/dle_haki/page/9999999999999999999/ MySQL Error! ------------------------ The Error returned was: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '2233720368548E+19,10' at line 1 Error Number: 1064 SELECT id, autor, date, short_story, SUBSTRING(full_story, 1, 15) as full_story, xfields, title, category, alt_name, comm_num, allow_comm, allow_rate, fixed, rating, vote_num, news_read, votes, flag, editdate, editor, reason, view_edit, tags FROM dle_post WHERE category regexp '[[:<:]](6)[[:>:]]' AND approve=1 ORDER BY fixed desc, date DESC LIMIT 9,2233720368548E+19,10  |
|
|
Создано: 27 декабря 2014 19:18 · Личное сообщение · #2 Никаг? Все зависит от того каким образом фильтруется передаваемое значение. И вообще ты не туда пришел, чтобы спрашивать такое. |
|
|
Создано: 27 декабря 2014 19:25 · Поправил: volopas · Личное сообщение · #3 А куда идти? И более важно, что прочитать про SQL inject , используя именно такую ошибку (превышение диапазона в параметре)? Вот человек пишет, что достал логины и пароли: http://forum.antichat.ru/showpost.php?p=3354960&postcount=254 |
|
|
Создано: 27 декабря 2014 20:03 · Поправил: unknownproject · Личное сообщение · #4 Там не было никогда уязвимости, ищите скуль в другом месте.Это обыкновенная ошибка синтаксиса, вызванная недопустимым значением переменной.Названия выплюнутых таблиц не несут ничего полезного.Хачьте админку и лейте шелл или ищите баги на соседних доменах. Добавлено спустя 4 минуты volopas пишет: Вот человек пишет, что достал логины и пароли: http://forum.antichat.ru/showpost.php?p=3354960&postcount=254 Ничего он там не достанет. В DLE пароль двойным md5 хэшируется, точнее от md5 хэша от пароля двигло получает еще один md5 хэш, а потом делается insert.Это часть процесса регистрации.В бд пароль так и хранится. ----- TEST YOUR MIGHT |
|
|
Создано: 27 декабря 2014 20:26 · Личное сообщение · #5 Тогда почему в следующих версиях DLE эту ошибку прикрыли? |
|
|
Создано: 28 декабря 2014 03:12 · Личное сообщение · #6 volopas пишет: Тогда почему в следующих версиях DLE эту ошибку прикрыли? Ответ в моем посте.Она раскрывала часть таблиц бд.Правят как бы любые ошибки.Она не несет более, чем информативный характер. ----- TEST YOUR MIGHT |
|
eXeL@B —› Вопросы новичков —› SQL injection. Превышение диапазона |
Для печати