Mysql 注册表上的SQL注入
我想问一下,在注册表上进行SQL注入是否有任何危险。我设法注射了这个Mysql 注册表上的SQL注入,mysql,sql,sql-injection,Mysql,Sql,Sql Injection,我想问一下,在注册表上进行SQL注入是否有任何危险。我设法注射了这个 ZAP OR 1=1-- 它给出了302错误。我注册了一个帐户,使用此注入作为使用Id和密码。 这是不是一个bug?我对臭虫赏金很感兴趣 当然是危险的。非常危险。假设您有一个名为users的表,并注入以下内容: '; delete from users where '' = ' 然后您的所有用户都将被删除。但在你的情况下,你写的文本是 ZAP或1=1 这是无效的SQL。假设系统需要文本数据。在这种情况下,它最终会将其包含在
ZAP OR 1=1--
它给出了302错误。我注册了一个帐户,使用此注入作为使用Id和密码。
这是不是一个bug?我对臭虫赏金很感兴趣 当然是危险的。非常危险。假设您有一个名为users的表,并注入以下内容:
'; delete from users where '' = '
然后您的所有用户都将被删除。但在你的情况下,你写的文本是
ZAP或1=1
这是无效的SQL。假设系统需要文本数据。在这种情况下,它最终会将其包含在撇号中。真正的考验是
ZAP'或1=1
你是认真的吗?注册表单上的SQL注入是危险的吗?当然是,它们是危险的。SQL注入在任何地方都是危险的,到此为止。如果您成功地在注册表单中注入了SQL,那么您通常可以在不多的时间内破坏整个数据库。我要警告网站管理员,这绝对是一个危险信号。302状态码通常不是错误,而是重定向。“我想问,在注册表上进行SQL注入是否有任何危险”“我对bug赏金感兴趣”,所以一个有道德的黑客/破解者不知道SQL注入的影响,或者你们是一个脚本小子吗?”。。其他注释是正确的,您可以使用302 http状态来盲目攻击数据库,强制MySQL用户可以访问的数据库名称、表名称和列。。如果你知道你可以强制使用有效的应用程序用户名和密码,如果anny的话。我问我的注入(ZAP或1=1--)是否会有任何影响,因为正如你所看到的,它缺少撇号。