1
Я новичок, когда дело доходит до понимания некоторых из атак в SQL-инъекции. Сейчас я видел эту атаку в моем журнале, и было интересно, если кто-нибудь может помочь мне понять, что это значитПроблемы с SQL-инъекцией
SQL Injection:
410'union/**/select/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),0x3a,(select/**/concat(user,0x3a,password)/**/from/**/pwn_base_admin/**/limit/**/0,1),0x3a)a/**/from/**/information_schema.tables/**/group/**/by/**/a)b/**/where'1'='1.
Какие СУБД это? –
Поиск 'параметризованных запросов' или' подготовленных операторов'. Они гарантируют, что злоумышленник не может «вломиться» в ваш код, включив SQL * (и, в частности, символ '' '*) в текстовые параметры свободной формы. * (Ваши SQL-операторы будут немного похожи на шаблоны строковых построителей с держателями мест для параметров, а не на то, что вы непосредственно подставляете введенные пользователем значения в ваш SQL.) * – MatBailie