Question

Предположим, что сайт написан на PHP, который отключает несколько операторов. Если запрос выглядит так:

Select id From TableX Where num = >userInput<

Невозможно обновить или удалить запись с помощью SQL-инъекции? Можно ли получить содержимое из другой таблицы, например tableB, которая может быть несовместимой с объединением?

Заранее спасибо.

Your Common Sense · Answer 1 · 16 февраля 2012

Мне любопытны вопросы типа «Как ввести», «Как взломать», «Как украсть некоторую информацию», подразумевающие получение пошаговых инструкций - приветствуются ли такие вопросы на этом сайте или нет?

penartur · Answer 2 · 16 февраля 2012

userInput = -1 union select GetCharCode(SomeStringField, CharPosition) from SomeTable where SomeCondition, где GetCharCode возвращает код символа в CharPosition из SomeStringField (вам нужно написать некоторый специфичный для БД код), который поможет вам получить значение SomeStringField с помощью цикл через возможные CharPosition s и, таким образом, обходит проблему с таблицей B, не являющейся «совместимым с объединением».

Как ввести с несколькими отключенными утверждениями?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как ввести с несколькими отключенными утверждениями?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы