Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- Hola, el nnn en rojo equivale al tamaño del buffer (body de la petición post), efectivamente falta el ";", con respecto a -- - se hace porque -- es comentario, pero cuando haces una inyección sql puedes estar al lado de otras funciones o textos, por ejemplo:
- [code]where name = "$nombre"[/code]
- $nombre digamos que es
- [code]abc" or 1=1 --[/code]
- Entonces quedaría así:
- [code]where name = "abc" or 1=1 --"[/code]
- Eso te dará un error de sintaxis porque -- debe ir solo, no debe estar acompañado de un tercer carácter, --" no es comentario, por otro lado si coloco un espacio en blanco al final debemos recordar que algunos desarrollos webs o navegadores eliminan los espacios finales de las url o de los parámetros y quedas con el mismo problema, por eso -- - asegura que se enviará un espacio en blanco despues del comentario -- y se hace efectivo en sql, el tercer - es para rellenar, pero puede ser cualquier caracter.
- Saludos.
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement