Autor Tema: Sql inyeccion help  (Leído 597 veces)

killr00t

  • Mensajes: 2
    • Ver Perfil
    • Email
Sql inyeccion help
« : febrero 17, 2010, 02:31:38 pm »
hola que tal saludos a todos bueno mi duda es la siguiente
tengo un sitio con esta vulnerabilidad pero la encontre de otra forma :

xxxx.com/index.php?pagina=1 aca se llama la variable pagina =1 si le coloco la comilla simple
xxxx.com/index.php?pagina=1' no me arroja el error
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right ...... etc etc

pero si le quito la asignacion a la variable pagina

xxxx.com/index.php?pagina=
aca si me arroja el error de sql, quiere decir q solo procesa con 1 o 2 etc etc que son las paginas corresponidentes

pero el problema es que al quererer ejecutar una consulta pues no me deja sigue apareciendo el mismo error y no vale q coloque lo q es normal osea -- o /*

espero me ayuden para ver como ejecuto las consultas

salud2 a todos en especial a:

L0z4n0

manix

  • Mensajes: 28
    • Ver Perfil
    • Email
Re: Sql inyeccion help
« Respuesta #1 : febrero 17, 2010, 11:25:43 pm »
Hola,

por que procesas el valor del atributa de una vez en la sentencia sql? No es una buena practica, por lo general verificas y procesas cualquier dato antes de consultar la base de datos por medio de if, switch y demas.
Si no es problema para vos puedes poner algo de codigo aca para ver como estas procesando la solicitud.

Pura vida

killr00t

  • Mensajes: 2
    • Ver Perfil
    • Email
Re: Sql inyeccion help
« Respuesta #2 : febrero 18, 2010, 11:01:54 am »
ese es el problema compa que no tengo codigo y lo estoy haciendo por medio de url (online) claro si se viera elc odiga se sabria como se esta procesadnoe sa variable pero pailander sin el code

salud2

bad_robot

  • Mensajes: 15
  • si buenas
    • MSN Messenger - bad_robot_only@hotmail.com
    • Ver Perfil
    • Email
Re: Sql inyeccion help
« Respuesta #3 : mayo 21, 2010, 02:04:14 pm »
Amigo debe convertirlas para que no le saque el error.

saludos

PD: le espera la labor tediosa




[D-m-K]

  • Administrador
  • Mensajes: 229
  • [-.|.-]
    • MSN Messenger - d4rk.m0nk3y@hotmail.com
    • Ver Perfil
    • Red Informatica Colombiana
    • Email
Re: Sql inyeccion help
« Respuesta #4 : mayo 22, 2010, 09:26:07 am »
1. Mmmm no se si te entendi, pero supongo que quieres evitar que se muestren los mensajes de error de MySQL en la pagina... para esto simplemente le colocas un @ (Este simbolo evita que se muestren warnings y posibles errores en la interpretaci
:: Todas las grandes cosas que se disfrutan son el producto de las pequeñas cosas que se logran ::

ChechoHack

  • Moderador
  • Mensajes: 115
    • MSN Messenger - sergioariza@informaticos.com
    • Ver Perfil
    • HackBeerWii Event
    • Email
Re: Sql inyeccion help
« Respuesta #5 : mayo 22, 2010, 01:36:26 pm »
q mas parcerito :P ps por ahi leyendo tu problema :P acabo de estar de acuerdo con el viejo manix xD antes de realizar la inyeccion tienes q enfocarte en conocer la bd :) para poder realizar la inyeccion conrrectamente :D

Igual parcerito ahorita toy medio cortico de tiempo pero si necesita ayuda los finchos podemos colaborarle aca en ric xD se cuida parce

Atentamente,

Checho
redinfocol Staff
HackBeerWii Event