Inyeccion SQL (mysql) UPDATE dentro de un SELECT

Iniciado por odeONeSs, 16 Enero 2009, 00:34 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2
Acciones del Usuario

sirdarckcat

#10
17 Febrero 2009, 18:23 PM
no puedes hacer un UPDATE si ya estas en el contexto de un SELECT. en MySQL no se pueden hacer varias queries por consulta. (como en mssql).

Saludos!!

ChElAnO

#11
18 Febrero 2009, 17:54 PM

Hola,

es necesario cerrar esa comilla??

Si la variable id es un string, es necesario. Pero si es entero tal vez puedes intentar

noticia.php?id=1;UPDATE+Basededatos.noticias+SET+breve+=+0x4572726f72+WHERE+id+=+8/*

saludos

HardieVon

#12
22 Febrero 2009, 06:55 AM Ultima modificación: 22 Febrero 2009, 08:38 AM por HansVon
Cita de: sirdarckcat en 17 Febrero 2009, 18:23 PM
no puedes hacer un UPDATE si ya estas en el contexto de un SELECT. en MySQL no se pueden hacer varias queries por consulta. (como en mssql).

Saludos!!

Ya que si fueze  con oracle pues si se puede hacer multiples consultas.

; UPDATE

pero es raro


Yo tengo una duda, entonces el chabal como le podria hacer para insertar o hacer update a esa base de datos.

odeONeSs

#13
23 Febrero 2009, 03:52 AM Ultima modificación: 23 Febrero 2009, 03:54 AM por odeONeSs
Sirdarckcat gracias!! creia q si se podian hacer varias funciones en una sola cadena! ... necesitaria que las magic quotes estuviesen desactivadas para cerrar la comilla.. ya que es un string..  en fin..

Siempre nos quedará el hash en md5 del admin... jjejeje... (descifrado ya por cierto)

Un saludo y muchas gracias a todos!! :)
Cambio de firma de prueba

OzX

#14
27 Febrero 2009, 17:40 PM


Ejemplo de Como Seria.
MSSQL (Lo digo por el ;  XD¡)

Código (sql) [Seleccionar]
SELECT email, passwd, login_id, full_name
  FROM members
WHERE email = 'x';
      UPDATE members
      SET email = 'steve@unixwiz.net'
      WHERE email = 'bob@example.com';

http://www.unixwiz.net/techtips/sql-injection.html

Saludos¡
Imprimir
Ir Arriba Páginas 1 2
Acciones del Usuario