|
Felicitto ↓
|
 |
|
07 Сентябрь, 2009, 05:56:46
|
НЕ ХУЕТА!
ХУЕТА!
|
|
Карма: 0
Сообщений: 24
Сила слова: 0
|
Натолкнулся на страничку, не имея доступа к исходному коду. Ситуация следующая - в базе есть 100 элементов. Через GET-запрос передается id и возвращается этот элемент, если ввести id меньше 1 или больше 100, то выводит следующую ошибку
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1
Есть идеи, какой там может быть запрос? |
|
|
|
|
Записан
|
|
|
|
|
md5 ↓
|
|
|
07 Сентябрь, 2009, 05:58:37 , спустя 1 минуту 51 секунду
|
НЕ ХУЕТА!
ХУЕТА!
|
выезд, апартаменты, массаж, стриптиз, подружки, дорого
Группа: в ухо Карма: не нужна
Сообщений: 10494 Сила слова: 1.19
|
да, конечно есть
|
|
|
|
|
Записан
|
8: Undefined variable: str
Файл: /home/pyha/pyha.ru/forum/bbcode/Xbb/Tags/Man.php
Строка: 18
adw0rd: мудень блять, я уже фиксить стал эту фигню :)
md5: вуахахахаха
|
|
|
|
Felicitto ↓
|
|
|
07 Сентябрь, 2009, 06:01:19 , спустя 2 минуты 42 секунды
|
НЕ ХУЕТА!
ХУЕТА!
|
|
Карма: 0
Сообщений: 24
Сила слова: 0
|
Поделиться можете?
Буду благодарен
|
|
|
|
|
Записан
|
|
|
|
|
md5 ↓
|
|
|
07 Сентябрь, 2009, 06:07:22 , спустя 6 минут 3 секунды
|
НЕ ХУЕТА!
ХУЕТА!
|
выезд, апартаменты, массаж, стриптиз, подружки, дорого
Группа: в ухо Карма: не нужна
Сообщений: 10494 Сила слова: 1.19
|
$query = ""; Спустя 33 секунды добавил там тупо нет проверки на входящие данные (id)
а сам запрос может быть какой угодно |
|
|
|
|
Записан
|
8: Undefined variable: str
Файл: /home/pyha/pyha.ru/forum/bbcode/Xbb/Tags/Man.php
Строка: 18
adw0rd: мудень блять, я уже фиксить стал эту фигню :)
md5: вуахахахаха
|
|
|
|
Felicitto ↓
|
|
|
07 Сентябрь, 2009, 06:20:34 , спустя 13 минут 12 секунд
|
НЕ ХУЕТА!
ХУЕТА!
|
|
Карма: 0
Сообщений: 24
Сила слова: 0
|
ну если запрос
SELECT * FROM table WHERE id=$id
то такой ошибки не возникнет.
В сообщении пишется, что ошибка возле двух одинарных кавычек...
и почему ошибка возникает при запросе, если я ввожу число, просто в базе его не найдет... |
|
|
|
|
Записан
|
|
|
|
|
phpdude ↓
|
|
|
07 Сентябрь, 2009, 06:28:03 , спустя 7 минут 29 секунд
|
НЕ ХУЕТА!
ХУЕТА!
|
я - ЭМО
Группа: в ухо Карма: 344
Сообщений: д-о-х-у-я! Сила слова: 1.66
|
SELECT * FROM files WHERE id=
[Err] 1064 - You have an error IN your SQL syntax; CHECK the manual that corresponds TO your MySQL server version FOR the RIGHT syntax TO USE near '' at line 1
только не подумай по наивности что там именно такой запрос ;) |
|
|
|
|
Записан
|
забанен. могу забанить других, пишите в личку
BEER. Helping ugly people have sex since 1862.
|
|
|
|
AndryG ↓
|
|
|
07 Сентябрь, 2009, 09:18:07 , спустя 2 часа 50 минут 4 секунды
|
НЕ ХУЕТА!
ХУЕТА!
|
|
Группа: Адекваты
Карма: 1
Сообщений: 233
Сила слова: 0.43
|
там тупо нет проверки на входящие данные (id) А может там есть проверка?
То, что вы вводили - проверку не прошло и функция (проверки) вернула null/false.
В итоге в текст запроса подставилось не значение ID, а пустая строка - вот и получили две кавычки и между ними null\false\пустая строка |
|
|
|
|
Записан
|
|
|
|
|
Mr.Pihto ↓
|
|
|
10 Сентябрь, 2009, 08:44:29 , спустя 2 дня 23 часа 26 минут 22 секунды
|
НЕ ХУЕТА!
ХУЕТА!
|
|
не выябывайся
Группа: Адекваты
Карма: 17
Сообщений: 1398
Сила слова: 1.22
|
да
барада
надо делать такую проверку чтоб если в в гете ид > 100 то подставлялось 100 а если меньше 1 то подставлялось 1. или просто при сначало смотреть сколько там элементов потом смотреть что там в гете и если там кривизна то не делать запрос на поллучение данных а выводить ошибку
|
|
|
|
|
Записан
|
|
|
|
|
krasun ↓
|
|
|
11 Сентябрь, 2009, 04:07:38 , спустя 7 часов 23 минуты 9 секунд
|
НЕ ХУЕТА!
ХУЕТА!
|
Группа: Джедаи
Группа: Джедаи Карма: 41
Сообщений: 1379 Сила слова: 2.97
|
командный хакинг
|
|
|
|
|
Записан
|
|
|
|
|
