Inyeccion SQL

Iniciado por BioT, 13 Marzo 2011, 15:56 PM

0 Miembros y 1 Visitante están viendo este tema.

BioT

Hola a todos,

Estaba probando en una pagina web, a ver si se podia inyectar sql, porque por casualidad meti una cadena que me dio un error en la base de datos del sql, al probar con nombre de usuario: ''or'=' y contraseña ''or'=', me entra a la base de datos del usuario numero "1". No me se los nombres de usuario de las personas porque podria entrar metiendo el nombre de usuario, y en contraseña ''='or' para que me diera un true, la cosa es que investigando dentro de la pagina web, en un formulario, encontre la lista de administradores en el codigo fuente, para mandarse mensajes entre ellos, y vi esto:

<option value="167">Mxx, Rxxx Vxxx</option>
<option value="1">Rxxx, Rxxx Gxxxx</option>
<option value="207">Mxxx, Fxxx Oxxx</option>
<option value="168">Mxxx, Rxxx Vxxx</option>

y efectivamente me di cuenta, que el usuario numero 1 era con el que me logueaba al  meter en nombre de usuario y contraseña ''or'='

lo que quiero es loguearme como el usuario por ejemplo "167" he probado con muchas inyecciones pero nada.. alguien me ayuda?

BioT

no me creo que nadie me pueda ayudar! ninguna idea?

N30h}

A ver, tio yo no puedo ayudarte ya que debes dar más información...
Y yo lo siento mucho pero es que no tengo mucha idea sobre Inyección SQL.
Y menos con tampoca información.

Abakus

Porque no pruebas a poner AND ID="167"
    bakus