Ho delle linee nel mio codice PHP / MySQL che assomigliano a questo:
...
$sqlquery = "SELECT price FROM products WHERE 1=1 AND id=".$_POST['id'];
...
... query is executed
...
echo $price;
Come test / dimostrazione, come posso sovvertire questo per mostrare qualcosa come la password di un utente se avessi un utente di tabelle come:
id | username | password
------------------------
1 | abcde | qwerty
In alternativa, cos'altro posso mostrare al sistema?
Suppongo che tu stia utilizzando la funzione standard%% di PHP% in questo caso nel caso in cui qualcosa del genere sarebbe efficace nel tuo esempio.
SELECT price FROM products WHERE 1=1 AND id=
999999999999999999999999
UNION ALL
(SELECT CONCAT(username, ' ', password) FROM user) limit 0, 1;
Spiegazione
Un altro esempio potrebbe essere utilizzare mysql_query per consentire il recupero di tutte le voci dalla tabella utente in una singola query. Ispirato alla risposta su un'altra domanda qui .
SELECT price FROM products WHERE 1=1 AND id=-1
UNION ALL
(SELECT CONCAT(GROUP_CONCAT(username), '\n', GROUP_CONCAT(password)) FROM user);
Risorse aggiuntive che coprono gli attacchi SQL Injection:
Alla tua ultima domanda:
Alternatively, what else can I get the system to show?
Generalmente, dipende da come è configurato il server SQL e se ci sono alcune attenuazioni presenti. Ma l'hacker potrebbe non solo mostrare le password degli utenti, in alternativa, può provare a:
Ogni operazione dipende da diversi fattori, come, come ho detto, la presenza di fattori di mitigazione, permessi sui file, configurazione del sistema, ecc.
A proposito, per l'utente malintenzionato non è necessario mostrare il risultato della richiesta SQL. Nel caso in cui l'attaccante non possa visualizzare la risposta, rende il processo di estrazione delle informazioni più lento e difficile, ma non impossibile.
Se ti interessa, ti suggerisco di leggere il blog di Bernardo Damele - il creatore di sqlmap: link . Ci sono presentazioni interessanti e la lettura su cosa può essere fatto e come.
C'è un classico esempio chiamato "Exploits of a Mom" su xkcd che probabilmente funzionerebbe quasi letteralmente nel tuo esempio. L'idea è di pubblicare una stringa come la seguente come id, in modo tale che il tuo codice la legga come $ _POST ['id']:
-1; SELECT * FROM users;
Supponendo che quando si passa la query al database è separata in più istruzioni al punto e virgola, questo è il risultato che il database vede:
SELECT price FROM products WHERE 1=1 AND id=-1;
SELECT * FROM users;
Il tuo utente malintenzionato è riuscito a elencare l'intero database dell'utente. In questo modo, è possibile eseguire comandi di database arbitrari.
Poiché il codice probabilmente elabora il risultato della query e visualizza alcuni risultati in una pagina Web, un utente malintenzionato può eliminare cose, falsificare dati o persino spiare informazioni dal database e potenzialmente utilizzarlo per modificarle. Ciò può includere il dirottamento di account o, se il database e il design del server lo consentono, effettuare ordini senza eseguire pagamenti.
Leggi altre domande sui tag php sql-injection attacks appsec