Indetectables

Indetectables es una Comunidad de Hacking, Seguridad Informática, Impresión 3d y Desarrollo
./index.php

SQL INJECTION

https://indetectables.net/viewtopic.php?t=58485

Página 1 de 1

SQL INJECTION

Publicado: 23 Dic 2022, 00:24
por rst4s
Buenas tardes/noches, tengo una duda sobre SQL-Injection, supongamos que introduzco el siguiente QUERY.
  • SELECT * FROM users WHERE name =’admin’ OR ‘1’=‘1’ AND password=’admin’
La base de datos, lee que el nombre puede ser admin o TRUE ya que 1=1. Ahí ya tenemos un SQL-I pero solo si la contraseña es correcta en algún usuario metido en la DataBase.
SI la contraseña no esta guardada en la base de datos se podría hacer un:
  • SELECT * FROM users WHERE name =’admin’ OR ‘1’=‘1’ AND password=’admin OR ‘1’=‘1’
¿La Base de datos interpretaría que el name=TRUE y que password=TRUE?🤔

Publicado: 23 Dic 2022, 11:28
por gohanjaja
Pasa que para que name sea 1 , el campo no debe ser string.
Osea, para eso , consulta con su id en vez de name.

Re: SQL INJECTION

Publicado: 23 Dic 2022, 18:21
por Tamira
tienes que usar la funcion de php MYSQL REAL ESCAPE STRING
Todos los horarios son UTC+02:00
Página 1 de 1

© Indetectables Team

Desarrollado por Indetectables LAB