Что думаете?

[ZeroCool]

что думаете о sql - inj на счет MS SQL?
Проверил то что поле не фильтруется вообще от кавычек.
Пробовал логин + просто кавычка выдает

Warning: odbc_exec(): SQL error: [Sybase][ODBC Driver]Syntax error or access violation, SQL state 42000 in SQLExecDirect in /диры/пхпэшка.php on line 131
Warning: odbc_exec(): SQL error: [Sybase][ODBC Driver]Syntax error or access violation, SQL state 42000 in SQLExecDirect in /диры/пхпэшка.php on line 168

Это он ответил на ‘1 or ‘1’=’1

Warning: odbc_exec(): SQL error: [Sybase][ODBC Driver]Syntax error or access violation, SQL state 42000 in SQLExecDirect in / диры/пхпэшка.php on line 51

Warning: odbc_result(): supplied argument is not a valid ODBC result resource in диры/пхпэшка.php on line 52

Самое интересное он ответил на ' or 1=1--

Warning: odbc_exec(): SQL error: [Sybase][ODBC Driver][Adaptive Server Anywhere]Syntax error or access violation: near 'or' in ...('\' [or] 1=1--','\' or 1=1--..., SQL state 37000 in SQLExecDirect in  / диры/пхпэшка.php on line 51
Warning: odbc_result(): supplied argument is not a valid ODBC result resource in / диры/пхпэшка.php on line 52

 

[Ar3s]

Warning: odbc_exec(): SQL error: [Sybase][ODBC Driver][Adaptive Server Anywhere]Syntax error or access violation: near '1' in ....TrasmitManeyC2A('\'[1]=1-- \'ls -la\'','\'..., SQL state 37000 in SQLExecDirect in /home/hosting/user.bn.by/trans1.php on line 56
ERROR: get_template() failure: [./]

http://user.bn.by/transfer_new.php
В поля забил '1=1-- 'ls -la'
По виду - sql имеется.

 

[k1b0rg]

тут ковычки слешируются, ничего не сделать

 

[ZeroCool]

А легендарные %2527 туда никак не засунуть?
2Ar3s
интересно откуда ты взял ls- la

 

[Ar3s]

ZeroCool
Да ниоткуда. Просто всунул первую пришедшую в голову комбинацию.
Тупо? Согласен, но я и не ставил целью гениальной комбинацией пробить фильтры.