06/05/2007 04:16:30
L[s]D
תראו אני מנסה לגלות את השם של הטבלה באתר מסויים.. ואני מנסה לעשות את זה בעזרת GROUP BY.. אבל הבעיה היא שאי אפשר לעשות GROUP לשאילתה שמוציאה את הכל מהמסד (*) כי זאת השגיאה שאני מקבל: ציטוט: Microsoft OLE DB Provider for ODBC Drivers error ’80040e14’ [Microsoft][ODBC Microsoft Access Driver] Cannot group on fields selected with ’*’.
יש דרך אחרת לגלות את השם של הטבלה?
06/05/2007 10:55:22
haritzik
מה קרה כל העולם עם sql inj? תנסה לעשות גרש, או שתעשה: having 6=6
06/05/2007 12:25:14
L[s]D
haritzik ניסיתי את שניהם עוד מקודם... המידע שאני מקבל מזה הוא רק כמה שמות של עמודות.. אבל אני צריך את הטבלה..
06/05/2007 14:12:22
haritzik
מזתומרת רק טורים? אתה אמור לקבל משהו כזה: haritzik.itai חריציק שם הטבלה, איתי שם הטור הראשון.
06/05/2007 14:22:31
L[s]D
אז זהו שלא... אני יודע שזה אמור להראות ככה.. אבל משום מה זה לא.. זה רק מראה חלק מהשאילתה... אתה רוצה שאני אשלח לך את מה שזה כותב?
06/05/2007 14:39:27
haritzik
כן.. וגם את הכתובת של האתר..
06/05/2007 15:06:17
L[s]D
הנה מה שזה מראה לי כשאני שם גרש: Microsoft OLE DB Provider for ODBC Drivers error ’80040e14’ [Microsoft][ODBC Microsoft Access Driver] Syntax error in string in query expression ’newsid=494’’
והנה מה שזה כותב לי כשאני משתמש בHAVING: Microsoft OLE DB Provider for ODBC Drivers error ’80004005’ [Microsoft][ODBC Microsoft Access Driver] HAVING clause (1=1) without grouping or aggregation.
ומצטער אני לא יכול להביא לך את הכתובת של האתר.
06/05/2007 15:11:15
haritzik
היה לי פעם דבר כזה, תחפש בעוד מקומות באתר, עד שתמצא אחד טוב.
04/06/2007 12:40:42
Sanfur
לאתר שלהם כנראה יש 2 גרסאות; אחת שהיא על בסיס MySQL(שרק בזה SQL Injection יעבוד) ואחת על בסיס MS Access(שאין קשר ל SQL בכלל)
06/06/2007 14:45:09
Nuuuuuu
גם בMS Access אפשר להשתמש בSQL.. פשוט לא עושים את זה כי יש שם דרכים יותר נוחות וויזואליות.. אבל קוד SQL אמור לרוץ עליהן..
13/06/2007 14:28:41
Sanfur
אבל זה קצת יותר מסובך... כמו שאמרת יש הרבה יותר דרכים נוחות.
עמודים:
1