23.03.2013, 04:19
|
|
Познающий
Регистрация: 09.09.2012
Сообщений: 30
С нами:
7196726
Репутация:
0
|
|
SQL инъекция, UPDATE
Доброго времени суток. Есть запросы вида:
Код:
INSERT INTO table ( id, p1 )VALUES(123, 'v1' )
SELECT * FROM table WHERE p1 like 'v1' ORDER BY p1
Значение v1 приходит от пользователя и никак не фильтруется. Можно ли как-то модифицировать произвольное значение в таблице table при помощи инъекции? Последовательные запросы не проходят:
Код:
OK -> "SELECT * FROM table WHERE p1 like '1' union ... -- ' ORDER BY p1"
ERROR -> "SELECT * FROM table WHERE p1 like '1'; select ...; -- ' ORDER BY p1"
|
|
|