Holas.. Resulta que tengo el codigo de un sitio al cual quiero hacerle una pequeña inyeccion no dañina.. (En serio)..
Tengo la instuicion de que en esta parte es posible una inyeccion, ya que no se filtra nada antes de pasarlo al mysql_query.....
Como ven, es la variable $id en la que hay que poner algo... pero cuando le pongo:
Ni me la pesca ni me da error...
Alguna idea??? Se los agradecere demasiado :$
Saludos!
Tengo la instuicion de que en esta parte es posible una inyeccion, ya que no se filtra nada antes de pasarlo al mysql_query.....
Código [Seleccionar]
<?php
//Aqui es donde se obtienen las variables sin filtrar..
$id=$_GET["id"];
$to=$_GET["to"];
$option=$_GET["option"];
if ($option=="delete"){
    require ('config.php'); //Conexion a la DB
    $queryz = "DELETE FROM tb_messenger WHERE id='$id' LIMIT 1";
    mysql_query($queryz) or die(mysql_error());
    mysql_close($con);
}
?>
Como ven, es la variable $id en la que hay que poner algo... pero cuando le pongo:
Código [Seleccionar]
'; UPDATE ETC ETC; #
Ni me la pesca ni me da error...
Alguna idea??? Se los agradecere demasiado :$
Saludos!