Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
RSS
Как узнать имена таблиц?
 
SQL injection, не фильтруются символы в целом параметре, можно выполнять произвольные запросы.
Можно ли узнать имена таблиц и столбцов, кроме как перебором? Доступа к INFORMATION_SHEMA нет, не хватает прав. БД MySQL 4.0.18.
 
show databases
show tables from <database_name>
Ну и запросы у вас - сказала база данных и повисла.
 
Не помогает :(
Ругается на синтаксис SHOW DATABASES, SHOW TABLES FROM dbname
В этой версии точно есть SHOW ?
 
должно быть...

SHOW [FULL] TABLES [FROM db_name] [LIKE pattern]
SHOW {DATABASES | SCHEMAS} [LIKE pattern]
(pattern в одиночных кавычках (форум удаляет...))

ЗЫ: что пишет (ошибка)?
Ну и запросы у вас - сказала база данных и повисла.
 
Вот например
...&id=999999+UNION+SHOW+COLUMNS+FROM+users/*

таблица users точно есть.
пишет
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near SHOW COLUMNS FROM users/* at line 1

...&id=999999+UNION+SHOW+TABLES+FROM+dbname/*
имя базы dbname известно
пишет тоже самое
You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near SHOW TABLES FROM dbname/* at line 1
 
может надо схема.таблица?
Ну и запросы у вас - сказала база данных и повисла.
 
Имеешь ввиду dbname.users ? То же самое ((
 
работает LOAD_FILE, только хз какой файл загружать, может здесь можно что нибудь придумать?
 
а если вместо "/*" использовать " --"
Ну и запросы у вас - сказала база данных и повисла.
 
сорри за невтому - но ктонибудь знаеш в чем дело?

Illegal mix of collations (cp1251_general_ci,IMPLICIT) and (utf8_bin,IMPLICIT) for operation 'UNION'


что это?
 
з.ы. и еще, на information_schema.tables пишет - Table 'information_schema.tables' doesn't exist
 
У меня сейчас такая же проблема, дырявый скрипт есть, доступ к базе mysql есть, название всех баз знаю, а вот таблиц нет, незнаю что и делать ):

Кстати говоря show tables from dbname вроде и не должен работать, его вроде нельзя с UNION объединять, да даже если и логически подумать как это возможно, ведь UNION требует одинакового кол-ва колонок до и после UNION, а в SHOW всего два параметре COLUMNS и TABLES.

И еще расскажите плиз по подробнее о LOAD_FILE и INFORMATION_SHEMA.
 
во превых в MySQL в принципе нет INFORMATION_SHEMA.
во вторых, узнать имена таблиц, столюцов и тп, ты моэжешь
Во втроых, show describe и тп в MySqL нельзя использовать после union. Это отдельная команда.
Так что если ты не имеешь возмоджности внедрять данные в начало запроса, то остается тольео перебор....
Я такой толстый, потому что завтрак я съедаю сам, обедом со мной делится друг, а враг отдает мне свой ужин...
 
а вот загружая и выводя исходные тпаксты скриптов при помощи load_file() можно узнать много интерестного... в частности анализирую структуру запросов в исходниксх, частично узанть структуру БД.
Я такой толстый, потому что завтрак я съедаю сам, обедом со мной делится друг, а враг отдает мне свой ужин...
 
Парни извените, что не в тему, но подскажите плиз как можно слить базу, если известно: имя базы, пароль и user?
 
см mysqldump..
Я такой толстый, потому что завтрак я съедаю сам, обедом со мной делится друг, а враг отдает мне свой ужин...
Страницы: 1
Читают тему (гостей: 1)