Теоретический вопрос по SQL-injection

Discussion in 'Уязвимости' started by Xf1sh, 6 Feb 2007.

  1. Xf1sh

    Xf1sh Member

    Joined:
    9 Oct 2005
    Messages:
    8
    Likes Received:
    12
    Reputations:
    10
    На video.antichat.ru есть примеры SQL запросов, когда используются слэши со звездочками - /**/. В MySQL - это комментарий. Но сами запросы выглядят как-то странно, на комменарии это явно непохоже. Пример:
    Code:
    999999/**/UNION/**/SELECT/**/(IF((ASCII...
    или
    id=-1/**/union/**/select/**/1
    
    Для чего здесь используются /**/ может мне кто-нибудь рассказать?
     
  2. ice1k

    ice1k Banned

    Joined:
    1 Jan 2007
    Messages:
    462
    Likes Received:
    382
    Reputations:
    490
    Просто бывают такие поля, в которых нельзя использовать пробелы, поэтому вместо пробелов используют комментарии =\
     
    1 person likes this.
  3. guest3297

    guest3297 Banned

    Joined:
    27 Jun 2006
    Messages:
    1,246
    Likes Received:
    639
    Reputations:
    817
    Какие такие поля :)

    /**/
    +
    %2b
    %2B
    %20

    используеться как замена " " в sql запросах при фильтрации пробелов в некоторых cms.
     
    1 person likes this.
  4. ice1k

    ice1k Banned

    Joined:
    1 Jan 2007
    Messages:
    462
    Likes Received:
    382
    Reputations:
    490
    Ну поля, не поля, но я имел ввиду, что пробелы заменяет :p
     
  5. Xf1sh

    Xf1sh Member

    Joined:
    9 Oct 2005
    Messages:
    8
    Likes Received:
    12
    Reputations:
    10
    Спасибо, уяснил ;)
     
Loading...