Ниже приведен пример учебник инъекции SQL:, что SQL Injection может сделать, чтобы навредить вам
SELECT id FROM table WHERE username = '$username' AND password = '$password'
, если ваш сайт не защищает от инъекции SQL, вы можете просто отправить в пароле = anything' OR 'x'='x
в качестве входа и входа в систему без пароля. легко.
злоумышленник может также пройти в '; DROP TABLE table;
, чтобы отбросить стол из базы данных. И, конечно, если соединение sql имеет разрешение DROP
, но оно не будет работать. Также злоумышленники, вероятно, хотят получить больше преимуществ, выполняя что-то другое, кроме просто отбрасывая таблицу.
Итак, вопрос в том, могут ли злоумышленники совершать атаки, чтобы сделать UPDATE
на столе, получить структуру на всех таблицах, таблицах списков или db, только атакуя эту уязвимость?
p.s: не то, что я хочу, чтобы использовать его, чтобы нападать на людей, но я любопытное интересно, что может произойти в худшем случае на моем дб ..
Связанный: [mysql инъекции повреждения?] (Http://stackoverflow.com/q/15731983/53114) – Gumbo