SQL Injection
HackForum
| Dobrý den, začínám s web hackingem a hned v základech mám problém. Mám na svém zkušebním webu SQL query:
$sql_command = "SELECT * FROM stranky WHERE jmeno='$zadaneJmeno' AND heslo='$zadaneHeslo' LIMIT 1";
Po zadání existujících údajů stránka uživatele přesměruje na index.php. Snažil jsem se vyzkoušet nějaký jednoduchý SQL injection, ale prostě se mi vůbec nedaří se na index.php dostat. Zkoušel jsem věci jako ' OR ''=' nebo ' or 1-- Očividně dělám něco špatně. Je zde někdo, kdo by mi poradil co dál? (odpovědět) | Yole | 185.236.42.* | 24.4.2020 2:03 |
|
|
|
| Yole: Zapni si na serveru zobrazování chybových hlášek, které ti hodně napoví. Záleží na tom, zda tvůj php kód očekává z db pouze jeden záznam, nebo zda si poradí i s více vrácenými výsledky. Zkus třeba: ' OR 1 LIMIT 1-- Nezapomínej také nato, že za -- by měla následovat mezera (při vstupu skrz url parametr vkládej místo mezery plus, tedy --+).
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem. (odpovědět) | |
|
|
| .cCuMiNn.: Děkuju moc za radu. Přidal jsem za -- mezeru a podařilo se. (odpovědět) | Yole | 178.23.216.* | 27.4.2020 1:58 |
|
|
|