MYSQL Injection, was mach ich falsch.

Cool, ich hab die Sicherheitslücke Extra noch in meinen PHP Code eingebaut.
Jetzt Funktionier es, aber wie kann ich mir die Daten von dem UNION SELECT ausgeben lassen? Weil das normale Script verarbeitet die UNION daten logischerweise nicht. :=)

Gruss IRoot
 
Klar tut es des:

Code: 
$id = -1 UNION SELECT pwd FROM users WHERE id=1
SELECT name FROM users WHERE id=$id


mfg,
Xalon
 
Original von Xalon
Klar tut es des:

Code: 
$id = -1 UNION SELECT pwd FROM users WHERE id=1
SELECT name FROM users WHERE id=$id


mfg,
Xalon
Zum Vergrößern anklicken....

Funktionier aber nur Bei dieser Webside bei einer Anderen mit anderem Quelltext, werden die Resultate nicht ausgespuckt :(

Hier die Injection:
?kategorie=-1+UNION+SELECT+user_name+FROM+phpkit_user+WHERE+user_id=1

Gibt es nicht ein Programm, das Quellcode unabhänig die Daten ausgeben kann?

Gruss IRoot :)
 
Du verstehst da was falsch: Solch eine Injection funktioniert nicht überall, viele haben sich dagegen geschützt, vor allem "berühmte" Skripte ala PHPKit.
Nebenbei hast du dir weder die Seiten zu UNION (ALL) durchgelesen, noch hast du dich irgendwie damit beschäftigt.
 
Klar, ich weiss aber dass, es auf der Webside Funktioniert. Nur ist das Script nicht dazu gedacht, daten auszugeben. Aber MYSQL Code kann ich ohne probleme einfügen, nur ich bekomm dann meinen SELECT nicht angezeit :=)

Der Fehler liegt nich an PHPKit, sondern an einer .php Datei die nicht zu PHPKit gehört. Soweit hab ich mich schon informiert.

Ich möchte halt einfach das von meiner SELECT Abfrage auch angezeigt bekommen :=)
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben