en je weet dat een tabelnaam email heet en de db heet ook email. Hoe kan je dan alle emailadressen (dus de variabele 'email' in de db) weergeven door middel van een sql injection? Hoe en wat moet je dat dan achter categorie=1 plakken? Union, of select?
Wie kan het mij duidelijk uitleggen hoe het werkt,
Met vriendelijke groet,
Tom
ps:
dit werkte niet:
Http:// ..... ?category = 1 UNION ALL SELECT *,*,* FROM email
UHU....wil je een cursus "hoe leer ik hacken?" want dan effies ook jouw naam + adres e.d. zodat je bij mij op de lijst komt met mogelijke "daders" voor als er weer een of ander attack is en er dusdanige schade is dat deze verhaald kan worden door bijv. verzekeraars/banken/overheid.
@Lissy: SQL-injection is eenvoudig te voorkomen en anno 2008 echt niet meer nodig.
Wanneer jij jouw fiets in de stad niet op slot zet, mag je ook niet klagen wanneer deze na een dagje winkelen is verdwenen. Daar vraag je om en dat is met SQL-injection niet anders. Geen maatregelen getroffen? Ga niet klagen, je vraagt er zelf om.
Het is ook niet de bedoeling om een hacker o.i.d te worden maar ik wil gewoon weten hoe het werkt. Dus hoe xss werkt en sql injections. En ik wil alleen weten wat ik in de URL moet zetten:
Het is een website die van die lessen aanbiedt zodat je ziet waar beveiligingslekken zitten.
Ik weet dat de db email heet en dat er een tabel email is en een tabel category. Maar hoe kan ik alle emailadressen zien? Er zit express een sql injectiefout in de pagina, en die moet je zien te vinden maar ik wil weten hoe je het moet gebruiken:
