Título: SQL injection, obtener mas informacion o borrara datos Publicado por: xalupeao en 7 Marzo 2011, 09:29 am Bueno amigos tengo la siguiente duda.
tengo esta sentencia sql Código: $thefaq=mysql_query("SELECT question,answer,lasteditedby,lastedit FROM faq WHERE id='$faqid'"); y para desplegar la salida html realiza la verificacion Código: if($faq[question]){ como podria borrar datos o bien como podria ingresar una shell. sabiendo que no el codigo entra limpio sin filtro de magic quotes etc. Título: Re: SQL injection, obtener mas informacion o borrara datos Publicado por: Shell Root en 7 Marzo 2011, 18:31 pm Te encuentras en frente de una iSQL básica. Es sólo cuestión de inyectarle código para printear los datos de un super usuario, y así logguearte dentro de la aplicación. En este caso sería algo como,
Código
La inyección sería, Código
Tienes que leer tutoriales :D |