SQL Injection, caracter de esacape

onlytk · 11 Octubre 2005, 19:03 PM

Hola a todos, tengo una duda, recien estoy practicando kon esto de los SQL Injections, y al parecer para entrar a las paginas en donde te pide usuario simplemente se deberia poner un : admin' or 1=1 --, para saltar la seguridad pero en varias webs no resulta, bueno despues de eso hice yo mi propia pagina de acceso, e imprimi el resultado de la consulta al poner el sql injection y esto me dio de resultado:

SQL = select * from administrador where user='admin\' or 1=1 --'

Al parecer ahi lo que lo malogra es que el PHP o el ASP pone un caracter de escape, kon lo que me malogro XDDD, hay alguna forma de pasar esto??? o el propio PHP o ASP ya tienen sus rutinas de seguridad inkorporados para que kuando ingreses el karacter ' este le adjunte un \ ???? akaso ya murio kon esto los SQL Injections??????????????? desde ya gracias por las respuestas. 8)

oRTNZ · 15 Octubre 2005, 06:31 AM

Si se a que te refieres los asp aspx, tiene cierta fobia a las injecciones y script

¨provoca un error¨, aprende a leer el contenido de una web y viola!
pd. lee con cuidado esto!

es algo antiguo pero con las web modernas de ahora rula!

Test Foro de elhacker.net SMF 2.1

SQL Injection, caracter de esacape

onlytk

oRTNZ