¿Cómo permitir que INFORMATION_SCHEMA.TABLES pase a través del filtro SQLi?

0

Estoy practicando la inyección de SQL en un banco de pruebas donde las palabras clave OR y AND están en la lista negra. Al usar operadores lógicos como || y && , puedo continuar. Sin embargo, al intentar la siguiente consulta, falla.

http://localhost/testbed/index1/?id=-14' || (SELECT 1,TABLE_NAME,3 FROM  INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA= DATABASE()) --+

Esto puede ser porque la cadena 'FOR' se filtra, por lo que 'INFORMATION_SCHEMA.TABLES' no puede pasar también. ¿Alguna sugerencia sobre cómo escapar de esto para que pueda ejecutar la consulta anterior?

    
pregunta harveyD 19.05.2015 - 05:04
fuente

0 respuestas

Lea otras preguntas en las etiquetas