私はINSERT文の一部としてSQLインジェクションを持つWebアプリケーションを持っています。それは次のようになります。複数のクエリを使用する場合のJavaとMySQLでのSQLインジェクション
INSERT INTO table1 VALUES ('str1', 1, 'INJECTION HERE')
私は、このようなJavaの+ MySQLは上記の注射がもたらすであろうように、複数のクエリを積み重ねることはできませんそれを使用しているという事実に');truncate table1;--
としてではなくによる定期的な複数のクエリ注射を挿入することができます2番目のクエリは決して実行されません。
基本的には、前述のアーキテクチャーでこのような注入で達成できるのは、注入なしで可能な「ジャンクデータ」を注入しているようです。
load_file()
を使用するなどの方法がありますが、それでも私が探している範囲でデータベースを操作することはできません。
ここに何か不足していますか?この注入を使用してデータベースを制御するための他の方法がありますか?