Si trato de encontrar una vulnerabilidad de inyección de SQL en un formulario de inicio de sesión del administrador colocando un apóstrofe después del nombre de usuario ( username' ) y escribo una contraseña, ¿tendrá efecto esta comprobación de vulnerabilidad o modificará algo en la base de datos?
Cuando puse un apóstrofe después del nombre de usuario, no hubo ningún error de sintaxis SQL, sino que el sitio se volvió a cargar.
Es muy, muy poco probable que cambie algo.
Creo que es seguro asumir que la consulta SQL que está inyectando es una consulta SELECT. Dicha consulta no cambia el contenido de la base de datos, simplemente recupera datos. Si terminó la consulta (por ejemplo, con ; ) y comenzó una nueva consulta INSERTAR o ACTUALIZAR, es posible que pueda cambiar los datos, pero no parece que lo haya hecho.
Si no recibe ningún error y el sitio simplemente se vuelve a cargar, probablemente sea una señal de que su ataque de inyección se detectó y evitó. O que simplemente no funcionó.
Entonces, aunque no creo que la consulta SQL que inyectaste haya cambiado nada, es imposible decir algo con un 100% de certeza. La aplicación podría seguir cualquier lógica arbitraria, y sin revisar el código fuente realmente no se puede saber. Pero déjame decirte esto: si yo fuera tú, no estaría tan preocupado por eso.
Lea otras preguntas en las etiquetas web-application sql-injection