绕过圆点(.)的MySQL注入和逗号(，)

Question

我在一个客户的网站上得到了SQL注入，但是不能转储任何数据。我可以使用query执行sleep()

1 AND sleep(10)

但是每次我的查询包含一个点(.)或逗号(，)，服务器重定向到404。例如，mysql.users或information_schema.tables应该不起作用。我知道逗号绕过技术，但坚持使用点(.)我确信它不是防火墙，因为它只过滤这两个字符，所以可能是后端的框架Kohana在搞乱它。

Answer 1

Kohana自2017年起就被弃用并停止使用，从那时起就没有得到任何更新/错误修复/支持，请考虑升级到Koseven (应该不会有太多工作)。如果您的问题仍然存在/您需要帮助，请随时询问Koseven团队。关于这一点，我很抱歉我不能直接回答你的问题，但我希望我至少能帮上一点忙。