#mysql #sql #sql-injection
#mysql #sql #sql-инъекция
Вопрос:
Это полезная нагрузка, которую SQL map утверждает, что можно вводить:
user=-5305' UNION ALL SELECT
NULL,CONCAT(0x716b6b7071,0x4f5577454f76734a4a567875585a6f6b544b6414f584b466d4f7968416e4c737a534c5158726478,0x717a6a6b71)-- QGHlamp;pass=a
Как это работает в деталях?
Я имею в виду часть со всеми этими шестнадцатеричными значениями…
Ответ №1:
Это просто строки, закодированные в шестнадцатеричном формате.
Этот конкретный запрос не делает ничего вредного, но добавляет к выходному сигналу сайта: «Я готов, и сайт можно вводить».
Комментарии:
1. Итак, теперь мы знаем, что этот сайт уязвим для запроса ОБЪЕДИНЕНИЯ, и мы можем использовать другие методы для извлечения данных, верно? Спасибо за ответ
2. Да, именно это
3. Спасибо 🙂 так что «QGHl» ничего не значит, чтобы быть ясным
4. Какая кодировка? ASCII? Юникод? Какой должна быть строка в этом случае?
5. @PeterMortensen честно говоря, я понятия не имею