Domanda sql Injection

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
F

fire7777777

Utente Bronze
8 Luglio 2015
30
12
1
44
Salve ragazzi , da poco ho scoperto dvwa, mi sembra un ottimo tool per mettersi alla prova e imparare, avrei un dubbio, perchè questa query finisce con un # e non un ' ?

%' and 1=0 union select null, table_name from information_schema.tables #

stiamo cercando di ricavare i nomi di tutte le tabelle, è tutto chiaro ma tranne quel # , come mai?

un saluto
 
Direi che prima di exploitare dovresti studiarti il php interfacciato al MySQL

Inviato dal mio HS-L691 utilizzando Tapatalk
 
comunque in mysql e nello standard SQl si possono inserire commenti e # è per inserire un commenti nel Mysql type per il SQL standard sarebbe -- "commento"
dvwa usa mysql quindi l'attaccante in un attacco sqli # fai ignorare tutto quello che viene dopo il commento e fai attivare il tuo codice maligno
esempio preso da stack overflow


input:

Username: fake' OR 1#
Password: pass

Resultant SQL:

SELECT * FROM users WHERE username = 'fake' OR 1#' AND password = 'pass'
Which is executed as this, which returns every row:

SELECT * FROM users WHERE username = 'fake' OR 1
 
Stato
Discussione chiusa ad ulteriori risposte.

DISCUSSIONI SIMILI

U
Discussione Need help with SQL Query Interview Questions
  • 1
  • 527
1
527
Programmazione
Dazorn
0
Guida Videoguida 3 tecniche per bypassare il WAF di AWS
  • 3
  • 1K
3
1K
Pentesting e Ethical Hacking Guide e Tools
0xbro
D
Guida Il Linguaggio Macchina di x86 e x86-64 (Parte 2)
  • In evidenza
  • 2
  • 983
2
983
Manuali di Informatica e Reti
DispatchCode
D
Guida Calcolare la lunghezza in bytes di una funzione in C/C++ e difficoltà varie
  • 5
  • 628
5
628
C / C++
JunkCoder
Top Bottom
Indietro