Mostrando resultados del 1 al 3 de 3

Tema: Inyección en media consulta

  1. #1
    Miembro Avatar de knd144
    Fecha de Ingreso
    marzo-2010
    Mensajes
    92
    Gracias obtenidos: 5

    Predeterminado Inyección en media consulta

    Hola.
    Pues verán, tengo una consulta como ésta:

    UPDATE tabla1 SET contenido="uno" WHERE id='28'

    Lo que está en comillas rojas, o sea el contenido, es lo que se puede obtener de un texfield. Y bueno, se puede hacer inyecciones escribiendo algo como

    uno',titulo='titulo modificado

    quedando la consulta así:

    UPDATE tabla1 SET contenido="uno'titulo='titulo odificado" WHERE id='28'

    Como ven la inyección es muy sencilla, lo que no logro hacer es que afecte a otras columnas eliminando la cláusula WHERE y/o agregando la mía; intenté tontamente hacer esto:

    uno',titulo='titulo modificado WHERE id>'1

    pero es obvio que la consulta queda mal escrita:

    UPDATE tabla1 SET contenido="uno'titulo='titulo odificado WHERE id>'1" WHERE id='28'

    He intentado algunas variaciones, incluso poniendo líneas de comentarios -- pero no funca

    ¿Alguien sabe alguna solución?

  2. #2
    Gran Colaborador Avatar de ajr784
    Fecha de Ingreso
    marzo-2007
    Mensajes
    1.561
    Gracias obtenidos: 306

    Predeterminado Respuesta: Inyección en media consulta

    conozco muy poco de sql injection, pero creo que sería algo así:

    Código:
    uno',titulo='titulo modificado' Where id>'1' --
    Con ésto, conseguirías una consulta sql algo así:
    Código:
    UPDATE tabla1 SET contenido='uno',titulo='titulo modificado' Where id>'1' --WHERE id='28'
    Que sí es una consulta sql válida
    Cita Iniciado por Los Redondos y El Soldado
    Curastes todas tus heridas con agua podrida
    le mentistes al diablo tres veces vendiendole flore,
    y te llevastes en andas al angel de los perdedore.
    -- Angel de los perdedores --

  3. #3
    Miembro Avatar de knd144
    Fecha de Ingreso
    marzo-2010
    Mensajes
    92
    Gracias obtenidos: 5

    Predeterminado Respuesta: Inyección en media consulta

    Gracias ajr784 por contestar, pero hay un pequeño gran problema; resulta que aún así quedaría una comilla ' después de las -- lo que si es un error en la sintaxis. Mi pregunta es si hay alguna forma de omitir ese carácter (') o si de modificar la consulta a manera que no estorbe :/

    Me refiero, a que como tu dices, la consulta quedaría así:


    UPDATE tabla1 SET contenido='uno',titulo='titulo modificado' Where id>'1' -- ' WHERE id='28'

    y como vez hay una comilla ' flotando que por alguna razón aun que esté en los comentarios si manda error de sintaxis.

Temas Similares

  1. CyberLink Media Suite 10 Ultra (2012)
    By viko200 in forum Software
    Respuestas: 0
    Último mensaje: 04-jun-2012, 15:58
  2. Respuestas: 0
    Último mensaje: 19-nov-2011, 19:09
  3. Windows XP Media Center Professional + SATA [Act. Nov. 5, 2011][FLS-FLN]
    By frankdani in forum Windows y otros sistemas operativos no libres
    Respuestas: 0
    Último mensaje: 16-nov-2011, 11:52
  4. Descargar CyberLink Media Suite Ultra 8
    By soft2010 in forum Top 100
    Respuestas: 0
    Último mensaje: 22-jul-2010, 17:11

Normas de Publicación

  • No puedes crear nuevos temas
  • No puedes responder mensajes
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •