Forum
Aktif konular
Üyeler
Kurallar
Arama
Sql İnjection :( Sql İnjection :(
-
yaw sabahtan beri fıttırıcam.. bi sürü makale filan var okudum olmuo yav.. sitede hiç bi koruma yok adım gibi biliyorum çünkü localhostta deniyorum :D .. ama bi türlü beceremiyorum örnek
http://localhost/heyktest/git.asp?id=2"drop table admin
adminin kıçına -- da eklesem ; da eklesem olmuyo ya.. daha bi sürü şey denedim her türlüsünü denedim .. sql injectiondan korunmasını bilioz amma velakin gelin görünki açığı kullanarak heyk yapamıyoz :D bu konuda örnekli anlatım yapacak mürid var mı? dövmeden anlatın :D -
http://localhost/heyktest/git.asp?id=2"drop table admin
------
buraya nie tırnak işareti koydunki onu anlamadım baska bi kod dene mesela http://localhost/heyktest/git.asp?id=2 having 1=1 bunu dene eger acık warsa sana coloumn ismini werir -
ya o tek tırnak ama burda " çıkıyor.. dediğini denedim
[Microsoft][ODBC Microsoft Access Driver] HAVING clause (1=1) without grouping or aggregation. hatası verdi :D -
işte acık yokmus demekki :D bu hatayı vermesi sql yemediğinin göstergesidir, en azından o bölümde
-
nası yemez ama yaw ? koruma filan yok direk al kod bu
sor = "SELECT * FROM link Where id="&request("id")
Set link=Server.CreateObject("ADODB.Recordset")
link.open sor, sur, 1, 3 -
access te tablomu droplamayı düşünüyorsun having 1=1 ise sadece sql serverda çalışır access te union kullanabilirsin sadece
-
eger acık olsaydı
Microsoft OLE DB Provider for SQL Server error '80040e14'
Column 'tbl.id' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.
böyle bi hata werirdi(Coloumn ismini salladım öylesine yani farklılık gösterebilir) sende tbl.id deki tbl yi alırdın git.asp?id=2 update tbl set title='deneme' where id =2 böyle yaparak db ye girebilirdin ama orda coloumn ismini vermemiş sana
-
ewt bide entrikanın dediği war tabi
-
3N7R1K4 evet accessden tablo droplanmıyor mu deletede olabilir farketmez yeterki bişler silinsin gitsin :D yapamadım bi türlü ya :(
-
access ten sadece union ile veri çekersi sql serverda ise serverı bile ele geçirebilrsin. union örnek:
union select (colon sayısı) from (tablo adı)
union select 0,1,passwd from admin
gibi -
peki 2 sorum olcak hocam yukarda dediğini yapınca
[Microsoft][ODBC Microsoft Access Sürücüsü] Birleşim sorgusunun iki seçili tablo veya sorgusundaki sütun sayıları eşleşmiyor.
hatası veriyor nedendir ?
birde diyelim kolon adlarını bilmiyorum bu sebeple direk tabloları silmek istiyorum bunu nasıl yapabilrim?
Kısayol
Şikayet
Özel Mesaj
Alıntı yap
Toplam Hit: 2716 Toplam Mesaj: 15
Cevapla