Ich habe eine Webanwendung mit einer SQL-Injection als Teil einer INSERT-Anweisung. Es sieht aus wie das:

INSERT INTO table1 VALUES ('str1', 1, 'INJECTION HERE')

Ich kann die regulären Multiple-Query-Injektionen wie einfügen');truncate table1;-- Aufgrund der Tatsache, dass Java + MySQL verwendet wird, ist es jedoch nicht möglich, mehrere Abfragen zu stapeln, sodass die obige Injektion zu einem Fehler von MySQL führen würde und die zweite Abfrage niemals ausgeführt wird.

Im Grunde genommen scheint alles, was man mit einer solchen Einspeisung in der oben genannten Architektur erreichen kann, das Einspeisen von "Junk-Daten" zu sein, was auch ohne eine Einspeisung möglich ist.

Es gibt mehr Techniken wie die Verwendungload_file() Aber das würde es mir immer noch nicht erlauben, die Datenbank so zu manipulieren, wie ich es suche.

Vermisse ich hier etwas? Gibt es eine andere Möglichkeit, diese Injektion zu verwenden, um die Kontrolle über die Datenbank zu erlangen?