Buenas a todos, estoy probando un poco a ver si puedo sacar alguna inyección pero va a ser que no jajajja
Tengo 2 casos:
1º- Una query con SELECT donde el paramétro del LIKE puede ser modificado:
SELECT `email` FROM `account` WHERE `username` LIKE ''' LIMIT 1He probado a comentar el resto e intentar hacer un DROP TABLE o algo así pero nada.
2º- Una query con un INSERT en el que puedo modificar los valores del insert:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'nombreUsuario','pass','email,'1','232820212')' at line 1 He conseguido cortar un campo, añadir los míos y comentar el resto de la query. Luego he añadido un DROP TABLE y no me ha devuelto error. El problema es que al no saber ningún nombre de las tablas, no sé si ha afectado o no al sistema.
Eso es todo, a ver si me podéis echar una mano
no puedes ejecutar "stacked queries" (+ info @ google ) en mysql
PD: entiendo que si es una inyección estás en un entorno web
PD2: no dejas la pregunta clara!
Son 2 inyecciones SQL desde entorno web para 2 webs diferentes sí.
Que más quieres que te aclare xD
Pues a como te han dicho anteriormente en mysql no se pueden ejecutar Staqued queries, y con respecto a la primer consulta vulnerable que expones intenta otro tipo de comentarios como # o /*.