Guest User

WHK

a guest
Sep 7th, 2016
194
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. Hola, el nnn en rojo equivale al tamaño del buffer (body de la petición post), efectivamente falta el ";", con respecto a -- - se hace porque -- es comentario, pero cuando haces una inyección sql puedes estar al lado de otras funciones o textos, por ejemplo:
  2.  
  3. [code]where name = "$nombre"[/code]
  4.  
  5. $nombre digamos que es
  6. [code]abc" or 1=1 --[/code]
  7.  
  8. Entonces quedaría así:
  9. [code]where name = "abc" or 1=1 --"[/code]
  10.  
  11. Eso te dará un error de sintaxis porque -- debe ir solo, no debe estar acompañado de un tercer carácter, --" no es comentario, por otro lado si coloco un espacio en blanco al final debemos recordar que algunos desarrollos webs o navegadores eliminan los espacios finales de las url o de los parámetros y quedas con el mismo problema, por eso -- - asegura que se enviará un espacio en blanco despues del comentario -- y se hace efectivo en sql, el tercer - es para rellenar, pero puede ser cualquier caracter.
  12.  
  13. Saludos.
RAW Paste Data