Comment puis-je mettre à jour une table à l'aide de l'Injection SQL?
Comment puis-je capable de mettre à jour une table dans un de base de données MySQL à l'aide de SQL Injection?
J'ai entendu parler de la façon dont nous pouvons entrer la requête dans la barre d'adresse et il est possible de mettre à jour une table dans la base de données MySQL. Mais je ne suis pas sûr à ce sujet.
De bien vouloir me donner une idée des professionnels...
Cela ressemble à un bon tutoriel: tizag.com/mysqlTutorial/mysql-php-sql-injection.php
Cela sent le troll.
Cela sent le troll.
OriginalL'auteur Fero | 2010-10-08
Vous devez vous connecter pour publier un commentaire.
Vous pouvez essayer d'entrer
Robert'); DROP TABLE students; --
dans votre formulaire 🙂Ci-dessus xkcd dessin animé, Bobby a probablement été demandé de remplir en son nom dans un formulaire, mais il malicieusement inséré
Robert'); DROP TABLE students; --
, comme son nom l'. Maintenant, imaginez si cette entrée a été utilisé dans cette requête:Comme vous pouvez le voir, si l'on substitue
$input
pour ce que Bobby est entré, vous obtiendrez ceQui sont deux très valide les commandes SQL, et d'un commentaire.
Vous pouvez également effectuer une recherche antérieure Un Débordement de pile questions sur l'Injection SQL.
Oui, il est. Par exemple, si vous utilisez la chaîne de requête de l'URL, et l'insérer dans une
SELECT
instruction, comme dansSELECT * FROM users WHERE username = '$querystring';
Ensuite ce que vous passez le querystring peut facilement mettre fin à cetteSELECT
déclaration, et d'exécuter une autre instruction, comme ci-dessus le dessin animé.Merci Dany.. Est-il des sites ou des blogs qui expliquent qu'il breifly...
Au-dessus de la bande dessinée, Bobby a probablement été demandé de remplir en son nom dans un formulaire, mais il malicieusement inséré
Robert'); DROP TABLE students; --
... Maintenant, imaginez si cette entrée a été utilisé dans cette requête:SELECT * FROM students WHERE name = '$input'
... Comme vous pouvez le voir, si vous remplacer$input
pour ce que Bobby entré, vous obtiendrez ceci:SELECT * FROM students WHERE name = 'Robert'); DROP TABLE students; --'
, qui sont les deux valide les commandes SQL.Vous pouvez suivre le lien que @Piskvor suggéré dans les commentaires ci-dessus. Ensuite, je vous recommande de passer par un Débordement de Pile.
OriginalL'auteur Daniel Vassallo