У меня есть PHP-скрипт, с помощью этого кода:PHP MySQL Injection
$sid = $_COOKIE['sid'];
$q = mysql_query("SELECT * FROM `order` WHERE `sid` = '$sid' AND `use` <> 1");
В таблице MySQL с именем users, у меня есть следующие столбцы: id, name, md5password.
Как я могу сделать:
UPDATE `users` SET `md5password` ='newpassword'`
с потенциальной инъекции SQL в PHP? Можете ли вы привести мне пример?
Вы не можете. Причина в том, что mysql_query() не поддерживает несколько запросов, поэтому даже с этой уязвимостью SQL Injection вы не можете выполнить запрос UPDATE.
Лучшее, что вы можете сделать с этим SQLi - извлечь или прочитать данные из базы данных, вы не можете обновить или удалить его.
Могу ли я увидеть пример извлечения или чтения? –
Кроме того, может быть введен преднамеренно искаженный запрос, чтобы попытаться получить сообщение об ошибке, показывающее структуру таблицы. – halfer
Я знаю структуру всех таблиц и имею исходные коды, и мне нужно получить или изменить столбец md5password из таблицы users, используя уязвимость в PHP-коде. –
использование PDO ......... – user2092317
@Quentin не думаю. Кажется, что OP хочет выполнить инъекцию. – mavrosxristoforos
@Andrew Нам нужно гораздо больше информации о том, что вы пытаетесь сделать. Надеюсь, вы знаете, что мы не поможем вам взломать сайт, верно? – mavrosxristoforos