Russian TYPO3 community - Показать сообщение отдельно

Dmitry Dulepov · 13.12.2011, 12:21

К сожалению, есть. Передаете параметр как:

Код:

1" UNION SELECT BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM fe_users --

и ваш сервер умер надолго. Конечно, надо подобрать количество параметров в этом запросе таким, как число колонок в вашей таблице, но это совсем не сложно.

Правильно так:

PHP код:


			
$a1 = t3lib_div::_POST('a1'); 

$a2 = t3lib_div::_POST('a2'); 

$query = 'SELECT * FROM my_table WHERE a1=' . $GLOBALS['TYPO3_DB']->fullQuoteStr($a1, 'my_table');

13.12.2011, 12:21	#8
Dmitry Dulepov Продвинутый Регистрация: 28.04.2010 Сообщений: 73	К сожалению, есть. Передаете параметр как: Код: 1" UNION SELECT BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM fe_users -- и ваш сервер умер надолго. Конечно, надо подобрать количество параметров в этом запросе таким, как число колонок в вашей таблице, но это совсем не сложно. Правильно так: PHP код: `$a1 = t3lib_div::_POST('a1'); $a2 = t3lib_div::_POST('a2'); $query = 'SELECT * FROM my_table WHERE a1=' . $GLOBALS['TYPO3_DB']->fullQuoteStr($a1, 'my_table');`