Pratico l'iniezione SQL su un banco di prova in cui le parole chiave OR
e AND
sono nella lista nera. Sono in grado di procedere con operatori logici come ||
e &&
. Tuttavia, quando provo la query qui sotto, fallisce.
http://localhost/testbed/index1/?id=-14' || (SELECT 1,TABLE_NAME,3 FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA= DATABASE()) --+
Può essere che la stringa 'FOR' sia filtrata in modo che 'INFORMATION_SCHEMA.TABLES' non sia in grado di passare. Qualche suggerimento su come uscire da questo in modo che possa eseguire la query sopra?