![[HaBo]](/styles/default/logoklein.png){kind=small}
Sql-Injection: Namen der DB herausfinden
- Themenstarter blobbo
- Beginndatum
Elderan
0
Hallo,
jein, denn SQL Injection bedeutet, dass man SQL Code einschleusen kann.
Wenn du glück hast kannst du alles machen was du willst, mit nicht ganz soviel Glück nur an deinem Guhaben ein paar Nullen dranhängen
und wenn du Pech hast, bringt dir die Injection kaum ein Vorteil.Es kommt immer auf die Lücke drauf an, was du machen kannst.
Wenn du das DBMS identifizieren kannst hilft dir vielleicht das weiter:
http://sqlzoo.net/howto/source/z.dir/i12meta.xml
http://sqlzoo.net/howto/source/z.dir/i12meta.xml
OK danke erstmal!
Wie sieht es denn hier aus:
Jetzt kann ich mich mit ' OR 'x'='x schonmal einloggen.
Aber wenn ich nun, wie du meintest =), ein paar Nullen ranhängen wollen würde oder einfach einen Wert verändern, dann müsste das doch so gehen!(?) :
Naja soweit bin ich mir schonmal nicht sicher ob das klappen kann aber meine Frage ist nun, wenn es gehen sollte...
Wie kann ich denn jetzt den tabellenname wissen und wissen, dass die Variable "wert" heisst!?
Und was und wie kann man bei dem oben stehenden Code noch injizieren?
Danke schonmal!
Wie sieht es denn hier aus:
Code:
SELECT * FROM tabellenname WHERE name='$phpvariable'Aber wenn ich nun, wie du meintest =), ein paar Nullen ranhängen wollen würde oder einfach einen Wert verändern, dann müsste das doch so gehen!(?) :
Code:
'; UPDATE tabellenname SET wert=1000000 WHERE name='meinnameWie kann ich denn jetzt den tabellenname wissen und wissen, dass die Variable "wert" heisst!?
Und was und wie kann man bei dem oben stehenden Code noch injizieren?
Danke schonmal!