我目前正在本地主機Web應用程序上練習SQL注入。爲了成功地做到這一點,必須在聲明中返回一個值(使用SELECT
)。我試圖更改用戶的密碼:有沒有辦法更新表格,並在一個語句中選擇它?
changepwd', (UPDATE mysql.user SET authentication_string=PASSWORD('new password')
WHERE user='root' UNION SELECT authentication_string from mysql.user)) #
使用SQL注入不能使用;
。在那個例子中,我嘗試了UNION
以查看它是否可行,但沒有運氣。任何其他想法我可以嘗試?
這對Postgres來說非常簡單。你正在使用哪個DBMS? –
我正在使用MySQL – Reckope