私はそれについて学びたいと思っていたので少し質問をしています。質問があります。私は、HTMLフォームに'hi'
を入力し、私たちはテーブルに配置されて得るために必要な情報は、ユーザーと呼ばれる応答ユニオンでのSQLインジェクション
Error: The following error occurred: [near "hi": syntax error]
Query: SELECT * FROM personnel WHERE name=''hi''
として、これを取り戻します。私はsqlを見ていましたが、ここでは2 + select文の結果を組み合わせた結合演算子を見ています。
私はこれを入力として試してみます:1 UNION SELECT * FROM users
と私は何も戻ってこないので、テーブルの人員の名前としてその入力から検索したようです。私はこれがうまくいくと思ったのは、クエリが次のようになるからです:SELECT * FROM personnel WHERE name=1 UNION SELECT * FROM users
。私はこの1 UNION演算子は、私の入力に間違った何かを働くか、どのように
私は二重引用符を使用して、SQL文が何であるかを確認し、注入のために何かをフィルタリングしたかどうかを確認しました。 – user2747058