Ho un form di login asp (username e password) che è iniettabile SQL quando il nome utente è trovato nel database
Ad esempio, se ho inserito
-username : foo (foo founded in database)
-password : '.;/;
Quindi il risultato è:
Incorrect syntax near ';'. Unclosed quotation mark after the character string ' order by dat desc '.'
Domanda: in sqlmap ho scritto
sqlmap --url="foo.com/login.aspx" --data="username=foo&password=.';.;."
--level=5
Ma il risultato di sqlmap è: all tested parameters appear to be not injectable.
Che cosa c'è di sbagliato nella mia istruzione sqlmap?