MYSQL注入:如何在SELECT语句中执行UPDATE语句?各位帮帮忙~谢谢呵~
randb 2007-08-10 12:10:09 注入的语句形如:
ssss' and 1=1#
也就是说语句前面是一个字符串形如 'ss ,我用单引号补足 ssss' ,后面的语句我必须把它注释掉。现在我可以在 and 1=1 后面UNION一个新的SELECT语句,只要保持字段类型结构和SSS'前面的SELECT一样就可以了。
现在问题是,我可以在后面执行UPDATE或者DELETE吗?试过用分号隔开另写一个语句好像不行。
请各位帮帮忙,谢谢~纯粹技术研究,并无任何商业用途~~