Hola buenas es la primera vez que me meto en el tema de las inyecciones sql, lo digo para que no me prepareis el crematorio... he leido los tutos que hay pero sigo sin aclararme mucho la verdad...

Mi pregunta es: 2 inputs uno para introducir tu email y el otro un numero de cuenta (no es bancario...) el input para el email cuando introduces una ' produce un error de sintaxis, ¿esto ya quiere decir que es vulnerable? y si es así, ¿cual es el siguiente paso?

PD:La pagina en si lo que hace es crear una cuenta, no es para acceder.

Saludos

Muchas gracias whk por tu tiempo y los enlaces, ahora mismo me pondre con ellos, hace un tiempo me puse a estudiar php + mysql en una web muy buena y que aprovecho para recomendar a todo aquel que quiera iniciarse en el tema, la web es www.phpya.com.ar, mi inteción era crear un script para subastas y cuando lo conseguí deje el tema de lado... xD, lo que quiero lograr es modificar datos de la BD o realizar algunas consultas utiles...

He buscado informacion sobre inyecciones sql en el foro pero en la mayoria de tutos que encontrado se realizan las inyecciones a través de variables en la url, mi pregunta siguiente es: ¿es lo mismo realizar las inyecciones desde una variable en la url que desde una caja de texto vulnerable? uno de los errores con los que me encontrado probando inyecciones en la caja del email es este:

An error has ocurred:
Language string failed to load: recipients_failedjuanito@gmail.com"UPDATE XXX SET XXX ="25" WHERE XXXX ="juanito"

PD: cualquier dato que me ayude a tirar del ilo me sera de gran ayuda, gracias.


¡¡¡He conseguido saber el numero de columnas y el nombre de la BD!!! ahora ¿si quiero modificar algun dato de una tabla que debo hacer? tambien se el nombre de la tabla y el campo a modificar