SQL инъекция, INSERT

Discussion in 'Песочница' started by Euler, 23 Mar 2013.

  1. Euler

    Euler New Member

    Joined:
    9 Sep 2012
    Messages:
    30
    Likes Received:
    0
    Reputations:
    0
    SQL инъекция, UPDATE

    Доброго времени суток. Есть запросы вида:
    Code:
    INSERT INTO table ( id, p1 )VALUES(123, 'v1' )
SELECT * FROM table WHERE p1 like 'v1' ORDER BY p1
    Значение v1 приходит от пользователя и никак не фильтруется. Можно ли как-то модифицировать произвольное значение в таблице table при помощи инъекции? Последовательные запросы не проходят:
    Code:
    OK -> "SELECT * FROM table WHERE p1 like '1' union ... -- ' ORDER BY p1"
ERROR -> "SELECT * FROM table WHERE p1 like '1'; select ...; -- ' ORDER BY p1"
     
    #1 Euler, 23 Mar 2013
    Last edited: 23 Mar 2013
  2. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    #2 cat1vo, 23 Mar 2013
  3. Euler

    Euler New Member

    Joined:
    9 Sep 2012
    Messages:
    30
    Likes Received:
    0
    Reputations:
    0
    #3 Euler, 23 Mar 2013
  4. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    Аааа, понял! Не сразу увидел, тут оказывается все куда запущеннее!
    INSERT
    SELECT
    UNION
    А теперь прочтите эти 3 вещи и все сами поймете.
    З.Ы. А поиск все таки решает!
     
    #4 cat1vo, 23 Mar 2013
  5. Euler

    Euler New Member

    Joined:
    9 Sep 2012
    Messages:
    30
    Likes Received:
    0
    Reputations:
    0
    Ну в явном виде и там ответа нет. А из того что я решения не нашёл не следует, что его нет...
     
    #5 Euler, 23 Mar 2013
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.