Come consentire a INFORMATION_SCHEMA.TABLES di passare attraverso il filtro SQLi?

0

Pratico l'iniezione SQL su un banco di prova in cui le parole chiave OR e AND sono nella lista nera. Sono in grado di procedere con operatori logici come || e && . Tuttavia, quando provo la query qui sotto, fallisce.

http://localhost/testbed/index1/?id=-14' || (SELECT 1,TABLE_NAME,3 FROM  INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA= DATABASE()) --+

Può essere che la stringa 'FOR' sia filtrata in modo che 'INFORMATION_SCHEMA.TABLES' non sia in grado di passare. Qualche suggerimento su come uscire da questo in modo che possa eseguire la query sopra?

    
posta harveyD 19.05.2015 - 05:04
fonte

0 risposte

Leggi altre domande sui tag