Se provo a trovare una vulnerabilità di SQL injection in un modulo di login dell'amministratore inserendo un apostrofo dopo il nome utente ( username' ) e scrivendo una password, questa vulnerabilità controllerà l'effetto o modificherà qualcosa nel database?
Quando ho inserito un apostrofo dopo il nome utente non è stato riscontrato alcun errore di sintassi SQL, ma il sito è stato ricaricato.
È molto, molto improbabile che cambierebbe qualcosa.
Penso sia sicuro presumere che la query SQL a cui si sta effettuando l'iniezione sia una query SELECT. Tale query non modifica il contenuto del database, recupera solo i dati. Se hai interrotto la query (ad es. Con ; ) e hai avviato una nuova query INSERT o UPDATE, potresti eventualmente modificare i dati, ma non sembra averlo fatto.
Se non ricevi alcun errore e il sito si ricarica, è probabilmente un segno che il tuo attacco di iniezione è stato rilevato ed evitato. O che semplicemente non ha funzionato.
Quindi, mentre non penso che la query SQL che hai iniettato abbia cambiato qualcosa, è impossibile dire qualcosa con certezza del 100%. L'applicazione potrebbe seguire qualsiasi logica arbitraria e senza rivedere il codice sorgente che non si può veramente conoscere. Ma lasciami dire questo: se fossi in te, non sarei così preoccupato.
Leggi altre domande sui tag sql-injection web-application