перестановка параметров в url

krobol · 1 Мар 2009

в конце, чтобы потом скопировать ссылку в SIPT (Sql Inject Tool), где в конце добавляется {SQL}. Также, потом вручную проще раскручивать sql-inj, когда уязвимый параметр в конце.

как проверять идентификатор элемента массива?
$param["p1"]
$param["id"]
$param["p2"]

if strpos(идентификатор в $param, "id")
{

}

как узнать, что нужный элемент массива это элемент номер 1: $param[1]?

поставить в конец:
удаляете элемент массива с key=id а потом собираете массив в строку и добавляете в конец что хотели.

то есть проверять существование переменных: $param["id"], $param["gid"] ... и если существуют, то удалять и добавлять к строке?

PHP_Master · 1 Мар 2009

Всё гораздо проще:

PHP:

<?php

$ids = array('id', 'ID', 'Id', 'ItemID', 'gid');

$url = 'http://domain/index.php?Id=1&cat=2&sub=3';

$query = parse_url($url);
parse_str($query['query'], $param);

foreach($param as $k => $v) {
	if(in_array($k, $ids)) {
		$url .= '&' . $k . '=' . $v . '+and+1=0';
		break;
	}
}

echo $url;
?>

В данном примере ты получишь в строке два парметра Id, но действовать будет последний.

Теперь доволен или опять что-то не так?

MyGoogle · 30 Июн 2009

Пропробуй мануал почитать

перестановка параметров в url

krobol

Постоялец

PHP_Master

Хранитель порядка

MyGoogle

Прохожие