|
Título: Pregunta Mssql inject. Publicado por: PHAMTOM en 7 Mayo 2010, 02:39 am Buenas,estaba revisando unas inyecciones sql para un juego ..
y e encontrado 2 tipos de inyecciones,en algunas webs funciona una y en otras funciona otra. las 2 inyecciones son las siguientes : ' update character set clevel=400 where name = 'PHAMTOM' //Esta inyeccion me edita el nivel. 'x'; update character set clevel=400 where name = 'PHAMTOM' // esta inyeccion me edita el nivel. yo sé que el " ; " sirve para terminar una sentencia , y poder empezar la otra pero no le veo explicación al " 'x' " saludos.PHAMTOM Título: Re: Pregunta Mssql inject. Publicado por: WHK en 8 Mayo 2010, 02:49 am el ; no funciona en todas las webs porque el driver de musql por defecto en php no la reconoce como parte de una sentencia, en php+mysql el ; no existe.
para entender el X debes saber lenguaje sql. Citar select * from usuarios where name='$nombre' Citar select * from usuarios where name='x'; update character set clevel=400 where name = 'PHAMTOM' -- ' |