SQL Injection, Data bewerken
Nu willen we data toevoegen.
We weten inmiddels alle gegevens van 'ons' systeem.
Dus kunnen we dingen gaan toevoegen!
Jullie zullen denken: Maar dat kan niet, want we zitten toch in een where query? Ja dat klopt. maar als we die query zouden kunnen afsluiten, dan kunnen we ook een nieuwe query starten en data toevoegen!
Toevoegen van data (INSERT)
We weten allemaal (neem ik aan) hoe een INSERT query werkt.
Als we dan dit invoeren in het systeem: x'; INSERT INTO members ('gebruikersnaam','wachtwoord') VALUES ('mijn account','magjenietweten,isgeheim!');--
Dan voegen we een account toe. (aan nemend dat de tabel members heet).
De ; sluit de query af, en de -- zijn goed voor een commentaar teken, heel handig! want je weet dat eigenlijk hier na nog een quote zou komen.
Als het goed is is er nu een nieuwe gebuiker toegevoegd.
Verwijderen van data
We weten denk ik ook allemaal hoe je gegevens kan verwijderen uit een database?
Een hele database legen: '; DROP TABLE members; -- BOEM! de tabel is weg!
Je kan ook alles weggooien, maar de tabel behouden:
'; TRUNCATAE TABLE members; -- BOEM! de tabel inhoud is weg!
je kan dus op deze manier ook het DELETE statement uitvoeren.
Bewerken van data
Het Update statement is hier voor heel makkelijk
Je plaatst eerst weer een quote en een ;
Je krijgt deze UPDATE gegevens in je gebruikersnaam veld: 'x'; UPDATE members SET wachtwoord = 'IkVerranderJeWachtwoord!' WHERE gebruikersnaam = 'administrator'; --
Inhoudsopgave
- Inleiding
- Is SQL Injection mogelijk?
- SQL Injection, Hoe krijg ik datastructuur?
- SQL Injection, Data bewerken
- Wat kan ik er tegen doen?
- Bronnen en extra