Jump to content
Fórum Script Brasil
  • 0

Sql injection


andrelllcamargo

Question

1 answer to this question

Recommended Posts

  • 0

basicamente, isso é uma falha na interpretacao do caracter ' (aspa simples).

o cara passa o ' na sua querystring, fazendo com q na hora q a query seja executada, ele interprete como final de string. assim ele consegue adicionar qualquer codigo de select apos o fechamento do ' e, com um union all, ele consegue trazer qualquer informacao do seu banco de dados.

pra resolver isso, você pode fazer um replace transformando ' em '' (duas aspas simples), nos seus campos da querystring.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



  • Forum Statistics

    • Total Topics
      152.1k
    • Total Posts
      652k
×
×
  • Create New...