J'ai cette fonction plpgsql:Faire preuve d'injection SQL dans PL/pgSQL
CREATE OR REPLACE function login_v(em varchar, passwd varchar)
RETURNS users AS $$
DECLARE
cu users;
BEGIN
SELECT * into cu
FROM users where email = em
AND encrypted_password = crypt(passwd, encrypted_password);
return cu;
END
$$ LANGUAGE plpgsql;
Quand je fournir une entrée comme ceci: select login_v('[email protected]'' OR 1=1;--','la la la');
, je pense que ma méthode doit renvoyer l'utilisateur email [email protected]
. Qu'est-ce que je fais mal?
Effectuer une injection SQL est nécessaire ici pour démontrer le concept d'un exercice, mais je suis une injection SQL et un boob plpgsql. : |