SQL injection: Porovnání verzí
Smazaný obsah Přidaný obsah
m Bot: de:SQL-Injection is a good article; kosmetické úpravy |
Oprava neencyklopedických formulací a překlepů. |
||
Řádek 19:
což může zapříčinit přemostění autorizační procedury, protože 'b' = 'b' je vždy pravda.
Pro SQL injection se samozřejmě dají použít všechny dostupné příkazy, pokud
a';DROP TABLE uzivatele; --
vypadal by dotaz při odeslání serveru jako
Řádek 25:
statement := "SELECT * FROM uzivatele WHERE jmeno = 'a';DROP TABLE uzivatele; --';"
</source>
čímž
Podobných průniků je samozřejmě celá řada, díky klauzulím UNION a JOIN nejsme ani vázáni na tabulku předepsanou v části FROM a můžeme vypisovat data odkudkoliv z databáze.
|