مشکل با اس کیو ال(کمک)

baby_1 · 05-18-2008, 06:44 PM

آقا من هم یک سایت رو فقط قسمت id را خالی گذاشتم بعدش این اررورو داد
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1
بعدش هم اینطوری نوشتم
--id=having 1=1
و یا
--id='having 1=1
اما فقط بهم فقط این متن را نوشت
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '\' having 1=1--' at line 1
یا شبیه اون
اقا میشه این سایت را حالا هک کرد یانه؟ چه جوری ؟ آقا کمک کنید هر چی فیلم داخل این سایت در مورد این روش بود نگاه کردم ولی جواب نداد

aminhkh · 05-18-2008, 06:56 PM

با سلام. دوست عزیز شما این فیلم رو ببینو حتما جواب میگیری..

تنها کاربرانی که ثبت نام کرده و وارد شده اند میتوانند لینک ها را مشاهده کنند.برای ثبت نام کلیک کنید

**Cru3l.b0y** · 05-18-2008, 06:56 PM

نقل قول:

نوشته اصلي بوسيله baby_1

آقا من هم یک سایت رو فقط قسمت id را خالی گذاشتم بعدش این اررورو داد
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1
بعدش هم اینطوری نوشتم
--id=having 1=1
و یا
--id='having 1=1
اما فقط بهم فقط این متن را نوشت
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '\' having 1=1--' at line 1
یا شبیه اون
اقا میشه این سایت را حالا هک کرد یانه؟ چه جوری ؟ آقا کمک کنید هر چی فیلم داخل این سایت در مورد این روش بود نگاه کردم ولی جواب نداد

دوست عزیز آدرس سایت رو به صورت پیغام خصوصی برام بفرست تا بهت کمک کنم.

baby_1 · 05-19-2008, 09:57 PM

آقا یک سوال دیگه؟ چرا این عدد ها را بعد از select مثلا 0 و 1 و ... وارد می کنید در صورتی که همچین خونه هایی داخل جدول وجود نداره؟ یکی دیگه هم این که چرا بعضی جاها می نویسن select/**/ 0,1,2 و جای دیگه select+0,1 فرق بین این /** و + چیه؟ و چرا باید آخر خط حتما /* بزاریم؟

baby_1 · 06-21-2008, 08:56 PM

آقا کسی نیست جواب ما رو بده

**b3hz4d** · 06-21-2008, 09:54 PM

سلام.دوست عزیز فرق forum با chat room اینه که post هایی که تو forum داده میشه پاک نمیشه و بقیه هم میتونن با یه search استفاده کنن.سوال شما چند بار پرسیده شده تو forum.عدد ها واسه اینه که به تعداد ستون های موجود ستون فراخوانی کنی.میتونی به جای اینا از 1000 شروع کنی به نوشتن.بعد به جای اونا میتونی ستون فراخوانی کنی.پس عدد ها اسم ستون ها نیستن.در مورد **/ و / و + هم اینا مربوط میشه به بانک های اطلاعاتی که با هم متفاوتن.mysql,mssql,...
/* هم به معنی پایان دستورات هستش.

**Yaban3** · 06-21-2008, 09:57 PM

با سلام :

دوست عزیز این روش هک کردن در بعضی سایت ها خوب جواب نمیده خوب به این صورت بگیم که در بعضی سایتها

درصد موفقیت شما پایینه خوب در بعضی سایت ها از این فرمول select/**/ 0,1,2 استفاده میکنند خوب شما میتونید به

این روش هم وارد کنیدselect+0,1 اینا یک جور دستورات هستند که در Sql injection به کار میروند و به دتابیس سایت

این جور تعریف میکنه که من همان یوزر و پسوردی هستم که در اولین سطر از دتابیس موجود است.

یعنی شانسی هست که فرمول اولی جواب بده یا دومی که زیاد به ضعف امنیتی سایت ربط داره.

با احترام

**Yaban3** · 08-10-2008, 07:48 AM

بابا اینا دیگه کی هستند این چیه مینویسید.

از مسئولین در خواست برخورد با Greettat را دارم.

ReGOD · 08-27-2008, 07:37 AM

نقل قول:

نوشته اصلي بوسيله baby_1

آقا من هم یک سایت رو فقط قسمت id را خالی گذاشتم بعدش این اررورو داد
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1
بعدش هم اینطوری نوشتم
--id=having 1=1
و یا
--id='having 1=1
اما فقط بهم فقط این متن را نوشت
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '\' having 1=1--' at line 1
یا شبیه اون
اقا میشه این سایت را حالا هک کرد یانه؟ چه جوری ؟ آقا کمک کنید هر چی فیلم داخل این سایت در مورد این روش بود نگاه کردم ولی جواب نداد

هر گردی که گردو نیست !!

baby_1 · 08-28-2008, 04:50 AM

آقا بازم یه مشکل
آقا این سایت این ارور رو داده دستورات هم انگار کار می کنه
Microsoft JET Database Engine error '80040e14'

Syntax error in string in query expression '[ID]='having 1=1--'.

/member/adminasp, line 20

آقا این که دیگه mysql نیست بشه کاریش کرد هر چی هم having و از این چیز ها زدیم اسم جدول پیدا نشد که نشد( به همه ی کوتیشن و ' , ...) حالا چه طوری می شه اسم جدول را پیدا کرد؟ آقا بگید ببینیم که داخله mysql و mssql هر کدوم چه جوری می شه اسم table ها پیدا کرد ؟ چون توی هر فیلمی که می بینیم انگار هکر از قبل اسم جدول ها رو می دونه؟ عجیبه؟ مخصوصا این mysql ها ؟ آقا به جز جدول های پیش فرض mysql اگر دسترسی نداشتیم و خواستیم اسم جدول هایی که کاربر ساخته و ارورم داخلشون پیدا شده رو چه جوری می شه پیدا کرد؟( این ها که مثل mssql نیستن که بشه یا having به دست اورد) همین جور باید حدس و گمان بزنیم یا راه و حلی داره؟ اقا داخله سیستم هایی که اوره بالا رو می نویسن چه طور؟ لطفا کامل بگیددددددد ( نه خیلی کم که اصلا نشه چیزی فهمید)