Un empujon en las inyecciones sql (Mysql)

Iniciado por Littl3, 5 Marzo 2009, 01:38 AM

0 Miembros y 1 Visitante están viendo este tema.

Littl3

Hola buenas es la primera vez que me meto en el tema de las inyecciones sql, lo digo para que no me prepareis el crematorio... he leido los tutos que hay pero sigo sin aclararme mucho la verdad...

Mi pregunta es: 2 inputs uno para introducir tu email y el otro un numero de cuenta (no es bancario...) el input para el email cuando introduces una ' produce un error de sintaxis, ¿esto ya quiere decir que es vulnerable? y si es así, ¿cual es el siguiente paso?

PD:La pagina en si lo que hace es crear una cuenta, no es para acceder.

Saludos

WHK

Hola, veo que necesitas aprender primero lo que es MySQL, como se programa, etc. Es dificil poder entender una inyección SQL si no sabes de SQL, te recomiendo que de pasada puedas aprender algo de php así que deberías buscar por ahi esos tutos donde enseñan sobre php+mysql y en base a eso vas leyendo de a poco sobre inyecciones.

http://foro.elhacker.net/nivel_web/gran_tutorial_sobre_inyecciones_sql_en_mysql-t237420.0.html

Talves ese tema te pueda aclarar muchas cosas.

Citarcuando introduces una ' produce un error de sintaxis, ¿esto ya quiere decir que es vulnerable?
No siempre pero si la mayoria de las veces.

Citary si es así, ¿cual es el siguiente paso?
Depende de lo que quieras lograr o a que vas, cuales son tus intenciones ya que en base a eso es lo que necesitarás hacer y para hacer necesitas primeramente lo que te dije antes.

Si te quedan mas dudas puedes ver algunos textos acá:
https://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_23209-t244090.0.html
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
http://www.google.cl/search?hl=es&q=programacion+php%2Bmysql&btnG=Buscar&meta=

Si con todo esto sigues con dudas buelves y preguntas lo que desees.

Littl3

#2
Muchas gracias whk por tu tiempo y los enlaces, ahora mismo me pondre con ellos, hace un tiempo me puse a estudiar php + mysql en una web muy buena y que aprovecho para recomendar a todo aquel que quiera iniciarse en el tema, la web es www.phpya.com.ar, mi inteción era crear un script para subastas y cuando lo conseguí deje el tema de lado... xD, lo que quiero lograr es modificar datos de la BD o realizar algunas consultas utiles...

He buscado informacion sobre inyecciones sql en el foro pero en la mayoria de tutos que encontrado se realizan las inyecciones a través de variables en la url, mi pregunta siguiente es: ¿es lo mismo realizar las inyecciones desde una variable en la url que desde una caja de texto vulnerable? uno de los errores con los que me encontrado probando inyecciones en la caja del email es este:

An error has ocurred:
Language string failed to load: recipients_failedjuanito@gmail.com"UPDATE XXX SET XXX ="25" WHERE XXXX ="juanito"

PD: cualquier dato que me ayude a tirar del ilo me sera de gran ayuda, gracias.


¡¡¡He conseguido saber el numero de columnas y el nombre de la BD!!! ahora ¿si quiero modificar algun dato de una tabla que debo hacer? tambien se el nombre de la tabla y el campo a modificar