duda con inyeccion sql

Iniciado por mitsumy, 11 Noviembre 2009, 18:06 PM

0 Miembros y 1 Visitante están viendo este tema.

mitsumy

buenas,
me ecuentro practicando inyecciones sql en la siguiente pagina http://xxxxxx paragina creada para este fin.

me encuentro en el ejercicio 3 en el que hay que alterar las estadisticas, pero no logro hacer que me funcione la inyeccion, tengo los campos el nombre de la tabla pero no funciona.

esta es la inyeccion que estoy utilizando.

=1+UPDATE+puntuation+SET+name+=+mitsumy,+points+=+999999+WHERE+id=1

el servidor me devuelve que hay un error y que consulte el manual de sql.

que estoy haciendo mal...
ayuda pliss...

WHK

Hola, puedes leer un poco sobre inyecciones básicas sobre este tipo de ataques.
http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_081109-t244090.0.html

Si aun asi tienes alguna duda nos consultas ;)

OzX

si es mysql no podes generar stacked querys.
si es mssql , oracle, entre otros si podes.
Saludos¡

Castg!

#3
taller de sql de hacker zero, asi aprendi sqli. el ejercicio 3 no termino funcionando, lo aclaro en otro foro

mitsumy

Gracias por las respuestas.....

Pense que se podia hacer un Update..pero por lo visto no.

OzX

Cita de: mitsumy en 12 Noviembre 2009, 03:33 AM
Gracias por las respuestas.....

Pense que se podia hacer un Update..pero por lo visto no.

Si se puede pero depende de la base de datos.
en Mysql no se puede, en mssql y en otros sep.
Saludos¡