mssql injection

HackForum

mssql injection#
Hoj, mel bych dotaz zda je zranitelna tahle vec:

mam login form kde tvorim dotaz takto: "select dbo.functionLogin('" & name & "', '" & pw & "') as go"

kde nasledne po zadani jmena a hesla se testuje:
If drLogin.Item("go").ToString = "1" Then
login=True

pokud tedy do loginu zadam neco jako: ','') -- tak semi zobrazi error pri cteni go jelikoz go neexistuje. Moje otazka tedy zni jde mu nejak podvrhnout nebo nejakym stylem udelat aby sql vratilo 1 a prvni uzivatel v tabulce (asi?) se prihlasil? Take pokud projde ','') -- ocekavam ze muzu ','') ; novy sql dotaz -- Docela vtom plavu a pokud by byl nejaky hint, odkaz nebo primo nejaka odpoved byl bych rad, predem diky.
(odpovědět)
aye | 89.102.25.*17.12.2016 3:54

Zpět
Svou ideální brigádu na léto najdete na webu Ideální brigáda
 
 
 

 
BBCode