Mysql
 sql >> डेटाबेस >  >> RDS >> Mysql

इस PHP और MySQL कोड में SQL इंजेक्शन कैसे प्रदर्शित करें?

कुछ इस तरह करना चाहिए:

  1. उपयोगकर्ता "foo" के रूप में लॉग इन करने के लिए, उपयोगकर्ता नाम को "foo' -- "
  2. . पर सेट करें

इससे आपकी क्वेरी कुछ इस तरह दिखेगी

$res = mysql_query("SELECT * from users where user='foo' -- ' AND pass=''");

"-" का अर्थ है कि शेष पंक्ति पर टिप्पणी की गई है

  1. सुनिश्चित नहीं है कि यह काम करेगा, लेकिन उपयोगकर्ता नाम को "foo' OR (DROP TABLE उपयोगकर्ता) पर सेट करने का प्रयास करें -- "

इससे आपकी क्वेरी इस तरह दिखेगी:

$res = mysql_query("SELECT * from users where user='foo' OR (DROP TABLE users) -- ' AND pass=''");

हालांकि यह स्वीकार नहीं हो सकता है - मुझे लगता है कि सबक्वेरी केवल चयन कर सकते हैं।

mysql_query फ़ंक्शन केवल एक क्वेरी चलाएगा - अन्य आपको ऐसा करने देंगे:

$res = mysql_query("SELECT * from users where user='foo'; DROP TABLE users -- ' AND pass=''"); 


  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. नेस्टेड क्लासेस - CustomRowMapper !! अब कोई समस्या नहीं !! - भाग 2

  2. तालिका में डेटा सम्मिलित करने के लिए MySQL को लूप करें

  3. उपयोगकर्ता 'रूट' @ 'लोकलहोस्ट' के लिए स्प्रिंग बूट MySql एक्सेस अस्वीकृत

  4. यादृच्छिक और विवरण के साथ mysql क्वेरी

  5. मैं अपने एसक्यूएल में एक ही तालिका में दो अन्य मानों से मूल्य कैसे बना सकता हूं?