SQL Injection (GET/Select)

 

Filmler bu sefer Drop-down list olarak karşımızda.Film seçip Go dediğimiz zaman film geliyor.URL kısmında değişiklik yaptığımız zaman etki edebiliyoruz. Movie=* burada yıldıza kaç yazarsak oradaki filmi bize getirecektir.Denemeye başladığımızda 10. filme kadar gelir 11.film yok bu da 10 satır olduğu anlamına gelir.

Bir önceki sql örneğinde olduğu gibi yine sql komutumuzu yazıyoruz satırı sonuc alamadığımız herhangi bir satır yazmamız yeterli. Ben 11 yazdım.Sonraki hedefimiz bu sütunlardan user ve parola almak.

2. sütun ve 5. sütuna yazıp bir önceki örnekte olduğu gibi users tablosundan veriyi istediğimiz zaman istediğimiz sonucu alıyoruz.