J'essaie d'extraire des données en vrac à partir d'une base de données de site Web, mais je ne pouvais pas réussir. Quelqu'un peut-il suggérer si l'injection SQL est possible et comment faire dans ce cas.Puis-je faire l'injection sql sur ce site Web
Il y a plusieurs façons de le faire par injection SQL sur un site similaire à celui que vous avez fourni. Dans la clause where, il est prévu ac_no. Je suppose que cette valeur est transmise par le navigateur en tant qu'entrée de l'utilisateur. Dans ce cas, vous pouvez passer la valeur ac_no avec or 1 = 1. par exemple where ac_no = 123 or 1 = 1. Il retourne tout de la table RollPdf1.
Pour la comparaison de chaînes, vous pouvez ajouter "" = "" à la clause where.
Si vous souhaitez effectuer d'autres opérations select (si vous connaissez d'autres noms de tables), vous pouvez ajouter des instructions select définies par ;.
opérateur UNION:
Si vous connaissez les types de données des colonnes sélectionnées dans la requête, vous pouvez utiliser UNION pour obtenir des données supplémentaires provenant d'autres tables.
par exemple
original query : select name, age, sex from table1 where id = 1
sql injected query : select name, age, sex from table1 where id = 1 AND 1 = 2 UNION select username, id, password from userstable or someother table.
Il est en mesure de donner un seul enregistrement une fois que je veux plusieurs enregistrements et je pense qu'il existe une validation au niveau de l'application est là pour cela. – RanchiRhino
Du code que vous avez partagé, je ne pense pas qu'il y ait de validation au niveau de l'application pour le restreindre à un seul enregistrement. Parce que si vous voyez la condition 'if' là, s'il y a plus d'un enregistrement alors il est affiché dans la grille sinon probablement juste quelques champs en lecture seule. – Venky
Vous pouvez essayer d'ajouter 'OR 1 = 1' à la valeur' ac_no' et essayer .. Publiez l'erreur que vous obtenez après l'avoir essayée. – Venky
Semble un mal intention ---> Est-il sûr d'exposer ces détails se rapportant à l'élection du projet? Vous avez un chemin de projet dans la question, vous le savez? –
Projet d'élection pour les élections au Bihar, en Inde? Lol – Sak
@Sak - Non, pour les élections UP (vérifiez le nom de l'application)! Je vais mettre en évidence cette question. –