MySQL Injection, обходя точки (.) И запятые (,)

Question

Я получил SQL-инъекцию на сайте клиента, но не смог сбросить какие-либо данные. Я могу выполнить sleep () с запросом

1 AND sleep(10)

Но каждый раз, когда мой запрос содержит точку (.) Или запятую (,), сервер перенаправляет на 404. Например, mysql.users или information_schema.tables не должны работать. Я знаю о технике обхода запятых, но застрял с точкой (.) Я уверен, что это не брандмауэр, поскольку он фильтрует только эти 2 символа, так что, вероятно, поддерживаемая инфраструктура Kohana с ним связывается.

Answer 1

Kohana устарела и больше не выпускается с 2017 года и с тех пор не получает никаких обновлений / исправлений ошибок / поддержки, пожалуйста, рассмотрите возможность обновления до Koseven (не должно быть много работы). Если ваша проблема все еще возникает / вам нужна помощь, не стесняйтесь обратиться к Koseven Team. Что касается этого, мне жаль, что я не смог ответить на ваш вопрос напрямую, но я надеюсь, что смогу хоть немного помочь.