Question

Я тестирую SQL-инъекцию.У меня есть запрос:

SELECT * FROM testTable WHERE testVar='<USER INPUT HERE>';

Я отключил несколько операторов в одной строке.Есть ли способ, которым злоумышленник может вставить туда ОБНОВЛЕНИЕ или УДАЛЕНИЕ и уничтожить мои данные?

ПРИМЕЧАНИЕ.Однако я хотел бы знать обо всех возможностях.

Zohaib · Answer 1 · 08 декабря 2011

даже если вы отключили многострочные операторы, что если ваш пользовательский ввод выглядит как

a' OR 1=1; '

Полагаю, это выберет все строки.

ваш запрос станет

SELECT * FROM testTable WHERE testVar='a' OR 1=1 ;'';

zed_0xff · Answer 2 · 08 декабря 2011

Они могут, если вы не правильно экранировали кавычки при вводе пользователем

SQL-инъекция с несколькими операторами отключена?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

SQL-инъекция с несколькими операторами отключена?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы