我不是某種hax0r左右,但我的老闆有一個網站,我告訴他,它很容易受到SQL注入攻擊。然後他回答說這不是危險的,因爲所有的信息都是公開的;所以我告訴他有可能丟掉桌子。Sql注入漏洞
通常DROP表命令的作品,有人可以告訴我爲什麼不在這種情況下? 注意:這個數據庫只存儲新聞,不是重要信息!
news.php?id=-99%20union%20all%20select%201,2,3,4,5%20from%20information_schema.columns%20where%20table_schema=0x656e6469616d615--
請不要用hax0r恨評論進行回覆,如果我想知道如何破解,我會在IRC頻道,不在這裏。
編輯: 如果他從數據庫編輯安全,我認爲他是對的。 他可以披露sql查詢,但這會打敗向他展示危險是真實的目的。
您將需要顯示執行SQL的代碼 – 2012-02-03 15:23:18
我不認爲我的老闆會認真對待這個問題,因爲這樣網站確實很安全,這個preak永遠不會訪問數據庫查詢格式。我找到了列名,表名和數據庫名。 我可以告訴我的老闆該網站對信息違規行爲是否安全? – Souza 2012-02-03 15:25:14
@KerrekSB - Yo dawg,我聽說你喜歡網站,所以我把一個網站放在你的網站上,這樣你就可以在網站上看到你的網站。 – JNK 2012-02-03 15:25:25