|
MySQL.RU - Webboard
 Вернуться
 Инъекция в UPDATE (Dima) 27/10/2007 - 11:33:46
 Re: Инъекция в UPDATE (EuGen) 08/11/2007 - 13:00:34
> Original message text:
> From: Dima - 27/10/2007 - 11:33:46
> Subject:Инъекция в UPDATE
> -----------------
> Есть возможность вставить инъекцию в следущий запрос:
> UPDATE `table_first` SET `field`='###' WHERE ...
>
> С помощью этого можно вытащить любые данные из базы:
> UPDATE `table_first` SET `field`=(SELECT ....) WHERE ...
>
> А можно ли сделать UPDATE какойнить другой таблицы?
>
From: EuGen - 08/11/2007 - 13:00:34
Subject:Инъекция в UPDATE
-----------------
Ну в принципе, можно так:
UPDATE `table_first` SET `field`='###'; произвольный запрос; ' WHERE ...
то есть добавить кавычку в значение поля, закончив тем самым 1-й запрос, и затем после разделителя (он по-умолчанию `;`) выполнить произвольный запрос, не забыв при этом о том, что от исходного запроса остался `хвост`.
[Это сообщение - спам!]
Последние сообщения из форума
Уважаемые посетители форума MySQL.RU!
Убедительная просьба, прежде чем задавать свой вопрос в этом форуме, обратите внимание на разделы:
- ответы на наиболее часто задаваемые вопросы - FAQ
- раздел документация
- раздел поиск по сообщениям форума и документации
Также, старайтесь наиболее подробно указывать свою ситуацию (версию операционной системы, версию MySQL,
версию программного обеспечения, по которому возникает вопрос, текст возникающих ошибок, и др.)
Помните, чем конкретнее Вы опишете ситуацию, тем больше шансов получить реальную помощь.
32410
|
|
