sql注入用于教育目的

时间:2014-11-29 19:30:21

标签: sql database web-applications

我正在尝试利用在VM中运行的示例网站中的一些Web漏洞(它不在网络上 - 仅用于教育目的)。我有一个搜索条件字段,我写'全部'用于显示所有产品,或写或特定产品。

我尝试在字段中注入代码进行搜索但不起作用。

我测试过:

' or 'UPDATE' 'products' 'SET' 'price'='0' 'where' 'price'='1000'--'
' or 'UPDATE products SET price=0 where price=1000'--';
all' or DROP TABLE products #
(...)

但通常会返回一条消息:

  

SQL错误:SQL语法中有错误;查看与您的MySQL服务器版本对应的手册,以便在第1行的''ORDER BY PRICE'附近使用正确的语法

     

SQL语句:SELECT pcode,price,description FROM products WHERE描述如'%'或'UPDATE products SET price = 0 where price = 1000'%'ORDER BY PRICE

1 个答案:

答案 0 :(得分:0)

即使不确定我是否应该在这里给出sql注入的提示, 在你的陈述中是“在最后一部分。”

1000'%'按价格订购