我正在尝试利用在VM中运行的示例网站中的一些Web漏洞(它不在网络上 - 仅用于教育目的)。我有一个搜索条件字段,我写'全部'用于显示所有产品,或写或特定产品。
我尝试在字段中注入代码进行搜索但不起作用。
我测试过:
' or 'UPDATE' 'products' 'SET' 'price'='0' 'where' 'price'='1000'--'
' or 'UPDATE products SET price=0 where price=1000'--';
all' or DROP TABLE products #
(...)
但通常会返回一条消息:
SQL错误:SQL语法中有错误;查看与您的MySQL服务器版本对应的手册,以便在第1行的''ORDER BY PRICE'附近使用正确的语法
SQL语句:SELECT pcode,price,description FROM products WHERE描述如'%'或'UPDATE products SET price = 0 where price = 1000'%'ORDER BY PRICE
答案 0 :(得分:0)
即使不确定我是否应该在这里给出sql注入的提示, 在你的陈述中是“在最后一部分。”
1000'%'按价格订购