Varias subqueries MySql SQL injection

[kicking people]

Buenas, estuve leyendo sobre algunos manuales en el foro, entonces monte un pequeño server de prueba con Apache y MySql y trate de realizar las prácticas.
Luego de loggearme exitosamente utilizando el:

Código [Seleccionar] Expandir

' OR 1=1#, quise ponerme a utilizar otros comandos para modificar la DB como por ejemplo crear una base de datos, entonces inserte en el campo donde iba el password lo siguiente:

Código [Seleccionar] Expandir

'; CREATE DATABASE nuevadb;#
pero me devolvió un error y no creo la base de datos, agregue un pedazo de código para que me muestre la consulta y el resultado es el siguiente:

(el resultado de error, antes no lo devolvía al momento de hacer el

Código [Seleccionar] Expandir

' OR 1=1#)...
Luego para ver si estaba la sintaxis bien escrita, pasé a ejecutar ese comando en la consola de MySql y anduvo perfecto...


Alguien sabe por qué a la hora de crear la base de datos desde el formulario no la crea y por qué desde la consola si..??

Saludos!!!

[Azielito]

eso no siempre se puede hacer azielito .. solo en sistemas no-mysql

Código [Seleccionar] Expandir

SELECT * FROM users;(INSERT INTO users VALUES (1,2,3))

Regresa:

Código [Seleccionar] Expandir

De hecho es muy raro que se pueda, requires que el sistema encargado de hacer las consultas separe las queries individualmente antes de hacer las peticiones.

[kicking people]

eso no siempre se puede hacer azielito .. solo en sistemas no-mysql

Código [Seleccionar] Expandir

SELECT * FROM users;(INSERT INTO users VALUES (1,2,3))

Regresa:

Código [Seleccionar] Expandir

De hecho es muy raro que se pueda, requires que el sistema encargado de hacer las consultas separe las queries individualmente antes de hacer las peticiones.

¿Y no hay forma alguna de separar las queries desde el  form?
Saludos y gracias!