1. ホーム
  2. 質問と答え
  3. このWebサイトでSQLインジェクションを実行できます

このWebサイトでSQLインジェクションを実行できます

2017-02-05 3 views
-2

ウェブサイトデータベースから一括データを取得しようとしましたが、成功できませんでした。誰かがSQLインジェクションが可能かどうか、そしてこの場合どのようにするのかを提案することができます。このWebサイトでSQLインジェクションを実行できます

enter image description here

出典

2017-02-05 RanchiRhino

+1

は邪悪な意図だ--->それは選挙のプロジェクトに関連するこれらの詳細を公開しても安全ですか?あなたは質問にプロジェクトの道を持っています、あなたはそれを知っていますか? –

+1

ビハール選挙の選挙プロジェクト、インド? Lol – Sak

+1

@Sak - いいえ、UP選挙のために(アプリケーション名をチェックしてください)!私はこの質問を強調します。 –

答えて

3

あなたが提供したものと類似のウェブサイトにSQLインジェクションを行うには多くの方法があります。

where節では、ac_noが必要です。私はこの値がブラウザからユーザー入力として渡されていると仮定します。その場合、ac_noの値とor 1 = 1の値を渡すことができます。例えばwhere ac_no = 123 or 1 = 1である。テーブルRollPdf1からすべてを返します。

文字列比較の場合は、"" = ""where節に追加できます。

select操作を実行したい場合(他のテーブル名がわかっている場合)、ステートメントを;で区切って追加することができます。

UNION演算子

クエリで選択された列のデータ型を知っているなら、あなたは他のテーブルから追加データを取得するためにUNIONを使用することができます。

例えば

original query : select name, age, sex from table1 where id = 1 

    sql injected query : select name, age, sex from table1 where id = 1 AND 1 = 2 UNION select username, id, password from userstable or someother table.

出典

2017-02-05 20:11:21 Venky

+0

1つのレコードに複数のレコードを必要とするだけの時間を与えることができ、アプリケーションレベルの検証があると思います。 – RanchiRhino

+0

共有したコードからは、1つのレコードだけに制限するアプリケーションレベルの検証はないと思います。そこに 'if'条件があると、1つ以上のレコードがあれば、それはグリッドに表示されるでしょう。 – Venky

+0

あなたは 'ac_no'の値に' OR 1 = 1'を追加して試してみることができます。試した後にエラーを投稿してください。 – Venky

関連する問題

 関連する問題