Título: Varias subqueries MySql SQL injection Publicado por: kicking people en 2 Junio 2008, 19:21 pm Buenas, estuve leyendo sobre algunos manuales en el foro, entonces monte un pequeño server de prueba con Apache y MySql y trate de realizar las prácticas.
Luego de loggearme exitosamente utilizando el: Código: ' OR 1=1# Código: '; CREATE DATABASE nuevadb;# (http://img175.imageshack.us/img175/7172/dibujozf9.th.jpg) (http://img175.imageshack.us/my.php?image=dibujozf9.jpg) (el resultado de error, antes no lo devolvía al momento de hacer el Código: ' OR 1=1# Luego para ver si estaba la sintaxis bien escrita, pasé a ejecutar ese comando en la consola de MySql y anduvo perfecto... (http://img507.imageshack.us/img507/1457/dibujo2de9.th.jpg) (http://img507.imageshack.us/my.php?image=dibujo2de9.jpg) Alguien sabe por qué a la hora de crear la base de datos desde el formulario no la crea y por qué desde la consola si..?? Saludos!!! Título: Re: Duda SQL Injection Publicado por: Azielito en 2 Junio 2008, 19:33 pm eso no siempre se puede hacer azielito :-X.. solo en sistemas no-mysql Código: SELECT * FROM users;(INSERT INTO users VALUES (1,2,3)) Regresa: Código: De hecho es muy raro que se pueda, requires que el sistema encargado de hacer las consultas separe las queries individualmente antes de hacer las peticiones. Título: Re: Duda SQL Injection Publicado por: kicking people en 2 Junio 2008, 19:35 pm eso no siempre se puede hacer azielito :-X.. solo en sistemas no-mysql Código: SELECT * FROM users;(INSERT INTO users VALUES (1,2,3)) Regresa: Código: De hecho es muy raro que se pueda, requires que el sistema encargado de hacer las consultas separe las queries individualmente antes de hacer las peticiones. ¿Y no hay forma alguna de separar las queries desde el form? Saludos y gracias! |