Я могу добавить SQL с sqlmap, но не могу понять, как это работает. В моем скрипте нет команды echo
или print
, но sqlmap возвращает данные с именем и данными базы данных.Как sqlmap обнаруживает эту инъекцию SQL в моем скрипте?
Вот экземпляр он нашел:
$sql ="SELECT * FROM application where id=$id";
$act_res = mysql_query($sql);
Если нет эха или печати, и я также остановить отчеты об ошибках, то как же sqlmap получил информацию по SQL инъекций?
Какой метод использования/экспансии SQL-инъекций используется sqlmap? – Gumbo
получить имя таблицы имен таблиц и т. Д. – Asik
Нет, я имел в виду, что [техника] (https://github.com/sqlmapproject/sqlmap/wiki/Techniques) используется в вашем конкретном случае. – Gumbo