elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Duda Inyeccion sql...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Duda Inyeccion sql...  (Leído 8,223 veces)
andres_5

Desconectado Desconectado

Mensajes: 200



Ver Perfil
Duda Inyeccion sql...
« en: 11 Junio 2010, 23:28 pm »

Tuve que crear una web para el colegio, pero ahora estoy intentando inyectar codigo SQL a mi misma web, para experiencia personal...
el codigo es este:
Código:
$query = "INSERT INTO `usuarios`(log_nombre, contrasenya, nombre, email, localidad) VALUES (";
$query.= "'".$log_nombre."', '".$contraseña."', '".$name."', '".$email."', '".$localidad."');";

pero aprovecho el ultimo campo de localidad para intentar inyectar esto:
Código:
localidad'); DROP DATABASE `creandoside`('');

quedando en sentencia SQL algo como esto:
Código:
INSERT INTO `usuarios`(log_nombre, contrasenya, nombre, email, localidad) 
VALUES ('123', '123', '123', '123', 'localidad'); DROP DATABASE `creandoside`('');
pero me aparece un error y no tengo ni idea de que sucede,
la sentencia del error de phpmyadmin es:
Código:
consulta SQL:
INSERT INTO `usuarios` ( log_nombre, contrasenya, nombre, email, localidad )
VALUES (
'123', '123', '123', '123', 'localidad.'
);
MySQL ha dicho: Documentación
#1046 - No database selected
saludos y muchas gracias ;)
PD: puse este mismo tema en apartado Programacion/Diseños Web/Bases de Datos... Espero que no os moleste pero pense que talvez es mas correcto aqui, si hay cualquier tipo de problema podeis borrad algunos de los dos temas ;)
En línea

Algunos de mis proyectos sobre electronica -->
En Mi Canal de Youtube


winroot


Desconectado Desconectado

Mensajes: 589

#include<winroot.h>


Ver Perfil WWW
Re: Duda Inyeccion sql...
« Respuesta #1 en: 11 Junio 2010, 23:37 pm »

es mas correcto en bugs a nivel web.
:D
saludos!
En línea

Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com
Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Duda Inyeccion sql...
« Respuesta #2 en: 11 Junio 2010, 23:43 pm »

Lo que pasa es que en MySQL no se pueden concatenar querys con ; como se hace en MSSQL.
En línea

Te vendería mi talento por poder dormir tranquilo.
andres_5

Desconectado Desconectado

Mensajes: 200



Ver Perfil
Re: Duda Inyeccion sql...
« Respuesta #3 en: 11 Junio 2010, 23:49 pm »

no entiendo bien lo que me quieres decir :S
Pero voy a añadir esto para evitar confusion:
Código:
<?php
include "base.php";
$name= $_POST['usureg'];
$nick= $_POST['nickreg'];
$pass= $_POST['passreg'];
$pass2= $_POST['passreg2'];
$email= $_POST['emailreg'];
$localidad= $_POST['locreg'];
if ($pass == $pass2){

include "base.php";

        $log_nombre=$_POST['nickreg'];
        $contraseña=$_POST['passreg'];
$name= $_POST['usureg'];
$email= $_POST['emailreg'];
$localidad=$_POST['locreg'];

        $query = "INSERT INTO `usuarios`(log_nombre, contrasenya, nombre, email, localidad) VALUES (";
        $query.= "'".$log_nombre."', '".$contraseña."', '".$name."', '".$email."', '".$localidad."');";

        $resultado = mysql_query($query, $conexion);

        if ($resultado) {
            echo 'Usuario '.$log_nombre.' registrado con éxito.<br/>';
            ?>
            <meta http-equiv="refresh" content="5;URL=inicio.php">
            <?php
        }
        else {
           echo '<br/>'.$query.'<br/><br/>';
           echo 'Usuario '.$log_nombre.' y Contraseña '.$contraseña.', no ha podido ser registrado.<br/>';
       }}
        else{
?>
<script>alert('Debes confirmar la contraseña')</script>

<meta http-equiv="refresh" content="0;URL=registro.php">
<?php
}
?>
</body>

</html>

Gracias por vuestra atencion
En línea

Algunos de mis proyectos sobre electronica -->
En Mi Canal de Youtube


Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Duda Inyeccion sql...
« Respuesta #4 en: 12 Junio 2010, 00:24 am »

mmm te doy la respuesta de un Dios!, sé que no quieres hacer un UPDATE, pero supongo que es lo mismo que con un DELETE!
no puedes hacer un UPDATE si ya estas en el contexto de un SELECT. en MySQL no se pueden hacer varias queries por consulta. (como en mssql).

Saludos!!
En línea

Te vendería mi talento por poder dormir tranquilo.
Lobito14

Desconectado Desconectado

Mensajes: 21


Ver Perfil
Re: Duda Inyeccion sql...
« Respuesta #5 en: 12 Junio 2010, 13:39 pm »

Ahi veo varias cosas que no me terminan de convencer...

A ver, primero que nada, incluyes dos veces el archivo "base.php" que supongo que sera en el que tengas declarada la variable $conexion.

Podias poner tambien ese codigo aqui...

Porque el fallo que te da PhpMyAdmin es que no has selccionado la base de datos en la que hacer esa consulta, eso se hace con: "USE nombredb;"

Ya nos cuentas.
« Última modificación: 12 Junio 2010, 13:40 pm por ErLoBo » En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Duda Inyeccion sql...
« Respuesta #6 en: 12 Junio 2010, 15:44 pm »

A lo que en PHP es así
Código
  1. $conexion = mysql_connect("localhost", "root", "root");
  2. mysql_select_db("db_BaseDatos", $conexion);
En línea

Te vendería mi talento por poder dormir tranquilo.
Lobito14

Desconectado Desconectado

Mensajes: 21


Ver Perfil
Re: Duda Inyeccion sql...
« Respuesta #7 en: 12 Junio 2010, 18:37 pm »

A lo que en PHP es así
Código
  1. $conexion = mysql_connect("localhost", "root", "root");
  2. mysql_select_db("db_BaseDatos", $conexion);

Ahí va! eso es lo que espero que tenga en su archivo "base.php", si no... ya sabemos donde tiene el problema!
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Duda Inyeccion sql...
« Respuesta #8 en: 12 Junio 2010, 18:42 pm »

... ya sabemos donde tiene el problema!
El problema, es que ese no era el problema xD, lo que él queria hacer era inyectar código SQL, dentro de una Query ya construida.
En línea

Te vendería mi talento por poder dormir tranquilo.
Lobito14

Desconectado Desconectado

Mensajes: 21


Ver Perfil
Re: Duda Inyeccion sql...
« Respuesta #9 en: 12 Junio 2010, 18:52 pm »


...

pero me aparece un error y no tengo ni idea de que sucede,
la sentencia del error de phpmyadmin es:
Código:
consulta SQL:
INSERT INTO `usuarios` ( log_nombre, contrasenya, nombre, email, localidad )
VALUES (
'123', '123', '123', '123', 'localidad.'
);
MySQL ha dicho: Documentación
#1046 - No database selected
saludos y muchas gracias ;)
PD: puse este mismo tema en apartado Programacion/Diseños Web/Bases de Datos... Espero que no os moleste pero pense que talvez es mas correcto aqui, si hay cualquier tipo de problema podeis borrad algunos de los dos temas ;)

Es que como el dice que le aparece un error y no tiene idea de lo que sucede, y como el error es "#1046 - No database selected", por eso pense que preguntaba por ese error.

Saludos!
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Duda inyeccion sql
Hacking
ediporey2000 7 5,119 Último mensaje 28 Febrero 2011, 00:04 am
por Edu
duda sobre inyeccion sql
Hacking
draeq 1 2,910 Último mensaje 23 Julio 2011, 17:24 pm
por int_0x40
Duda Inyección DLL
Hacking
lubo 4 3,311 Último mensaje 15 Octubre 2013, 22:26 pm
por MCKSys Argentina
duda con inyeccion sql
Bugs y Exploits
kiorochi 1 3,909 Último mensaje 19 Noviembre 2013, 16:52 pm
por Saberuneko
duda inyeccion sql
Nivel Web
colcrt 3 2,993 Último mensaje 20 Julio 2015, 08:07 am
por sqln00b
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines