Ich habe eine Webanwendung mit einer SQL-Injektion als Teil einer INSERT-Anweisung. Es sieht wie folgt aus:SQL Injection in Java und MySQL bei Verwendung mehrerer Abfragen
INSERT INTO table1 VALUES ('str1', 1, 'INJECTION HERE')
ich die regelmäßig mit mehreren Abfrage Injektionen wie ');truncate table1;--
einfügen können, aber aufgrund der Tatsache, dass Java + MySQL es nicht mehrere Anfragen Stapeln nicht verwendet wird, ermöglicht so die obige Injektion in eine Folge hätte Fehler von MySQL und die zweite Abfrage wird nie ausgeführt.
Im Grunde scheint es, als ob man von einer solchen Injektion in der oben erwähnten Architektur nur "junk-Daten" injizieren kann, was auch ohne Injektion möglich ist.
Es gibt mehr Techniken wie die Verwendung load_file()
, aber das würde mir immer noch nicht erlauben, die Datenbank in dem Umfang zu manipulieren, den ich suche.
Fehle ich hier etwas? Gibt es eine andere Möglichkeit, diese Injektion zu verwenden, um die Kontrolle über die Datenbank zu erlangen?