ATAK SQL INSERTION: 0x31303235343830303536, co to oznacza??? Opcje

[phoenix84]

jakie znaczenie ma ten uklad liczb dla PHP/MySQL?
"0x31303235343830303536"

mialem kilka atakow typu SQL Injection (chyba nieudanych, albo sie myle?), rozne, ip, rozne daty etc. ale w wiekszosci pojawiaja sie wlasnie te liczby... zgooglowanie ich wywoluje linki do roznych stron o tematyce finansowej z linkami wygladajacymi wlasnie na SQL Injection (zawieraja tez UNION ALL)

moje pytanie brzmi: do czego one sluza, dlaczego sa uzywane i w ogole co to jest?!?!

dam przyklady atakujacych stringow:
/?strona=wymien_2&id_waluty_od=-999.9%20UNION%20ALL%20SELECT%200x31303235343830303536--
/?strona=kup-sprzedaj_1&tryb=-999.9%20UNION%20ALL%20SELECT%200x31303235343830303536--
/?strona=wymien_2&id_waluty_od=-999.9%20UNION%20ALL%20SELECT%200x31303235343830303536--

1 i 3 sa z roznych dat i adresow IP, wiec ten typ wpisu jest z jakiegos powodu popularny...

czy ktos wie o co w tym chodzi?

pozdrawiam,

k.

[Quadina]

Zwykle dane liczbowe są do SQL przekazywane bez cudzysłowów i apostrofów, zatem dopisanie do niego "UNION ALL SELECT 0x31303235343830303536" Zwróci wszystkie dane jakie są w danej bazie - spróbuj na jakimś starszym phpMyAdminie. Stary trick, już dawno zabezpieczony, ale na dużej ilości darmowych/publicznych hostingów zdarza się starsza wersja.

Np.

[SQL] pobierz, plaintext 
SELECT * FROM `cwiczenie` WHERE lekcja>999.9 UNION ALL SELECT 0x31303235343830303536
[SQL] pobierz, plaintext 

Ten post edytował Quadina 4.12.2010, 13:00:05