Общие > Базы данных
ЕЩЕ Вопрос
Stas:
чё-то вложенным запросом попахивает...
--- Цитировать ---Йо}|{ык:
Вместо \'123\' можно вставить всю строку
--- Конец цитаты ---
Какую строку ? У тебя там не строка а 1 единственное значение.
И вообше, по логике, я не вижу зачем эти 2 запроса должны быть обьеденины..
Йо}|{ык:
Ты внимательно почитай. Тебе же сказано - фирма написала файл - в нем есть строка
SELECT mgroup FROM ibf_members WHERE name=\'$userame\' LIMIT 1
А код,отфильтровываюий из $username всякую дрянь, написать забыла.
В результате можно подставлять в качестве username любой код.
Если встваить SQL - то будет выполняться модифицированный SQL запрос.
Где логика? На первый запрос мне плевать. Я хочу чтобы выполнился второй. Жаль что в MySQL нет объединения с помощью ";", как в SQL Server
Stas:
Ну так зачем тогда всё в один запрос пихать не могу понять ?? Смысла нет..
--- Цитировать --- Йо}|{ык:
А код,отфильтровываюий из $username всякую дрянь, написать забыла.
--- Конец цитаты ---
На ПХП филтруй
Phoinix:
Йо}|{ык
Так непонятно - ты хочешь написать фильтр на $username или спереть базу?
Йо}|{ык:
ОБЪЯСНЯЮ ДЛЯ ТУПЫХ!!!
ФАЙЛ IPCHAT.PHP содержит строку
SELECT mgroup FROM ibf_members WHERE name=\'$username\' LIMIT 1
$username передается в файл методом GET, то есть с параметрами строки.
h t t p://host/ipboard/ipchat.php?username=stas&password=pass
То есть если ввести такую строку в броузер, то оператор mysql_query(SELECT mgroup FROM ibf_members WHERE name=\'$username\' LIMIT 1);
Педераст в MySQL запрос SELECT mgroup FROM ibf_members WHERE name=\'stas\' LIMIT 1
Если же я вместо \'stas\' введу admin\'+INTO OUTFILE \'hashes.txt то $username удет равно "admin\' INTO OUTFILE \'hashes.txt"
Чешем свою репу и получаем запрос в базу:
SELECT mgroup FROM ibf_members WHERE name=\'admin\' INTO OUTFILE \'hashes.txt\' LIMIT 1
Обращваем внимание на кавычки и их количество - все просчитано.
Я бы так и сделал, и не мучил бы тебя, Stas глупыми на твой взгляд вопросами, однако в полученном запросе LIMIT 1 стоит после INTO, что делает его выполение невозможным. А текст самого ipchat.php не позволяет вывести на экран ответ MySQL на запрос.
Вот я и хочу дать такую команду, которая поместит нужную мне строку туда, куда я скажу. Я бы давно сделал это, однако незнание вохзможностей и синтаксиса мешает.
Так что внимательно почитай, и если знаешь как сделать скажи. И не рассуждай о целесообразности "пихания всего в один запрос"
С уважением....
Навигация
Перейти к полной версии