0

Javaとsqliteを使用したSQLインジェクションのデモをしたいと思います。SQLインジェクションで2つのクエリを同時に実行しようとしています。ユーザーは、;を使用してステートメントを途中で終了してから、insertステートメントを使用して別のエントリを追加する必要があります。

接続文字列でallowMultiQueries=trueを使用するMysqlJDBC。

sqlliteを使用してこれを行うにはどうすればよいですか?

TIA

4

1 に答える 1

2

allowMultiQueriesMySQL 固有の接続パラメーターとして。

1 つのクエリで複数のコマンドを許可する SQLite JDBC ドライバーを知りません。したがって、この種の SQL インジェクション攻撃は不可能です。あなたの最善の策は、次のようなクエリを作成することです。

SELECT * FROM Users WHERE Name = 'admin'--' AND Password = 'whatever'

またはこれ:

SELECT *
FROM Users
WHERE Name = 'admin'
  AND Password = 'whatever' or Name='admin'
于 2013-03-03T10:36:09.527 に答える