Mam aplikację WWW z wtryskiem SQL jako część instrukcji INSERT. To wygląda tak:

INSERT INTO table1 VALUES ('str1', 1, 'INJECTION HERE')

Mogę wstawić zwykłe wielokrotne zapytania, takie jak');truncate table1;-- ale ze względu na fakt, że Java + MySQL jest używana, nie pozwala na składowanie wielu zapytań, więc powyższy zastrzyk spowodowałby błąd z MySQL, a drugie zapytanie nigdy nie zostanie wykonane.

Zasadniczo wydaje się, że wszystko, co można osiągnąć dzięki takiemu zastrzykowi we wspomnianej architekturze, to wstrzykiwanie „niepotrzebnych danych”, co jest możliwe również bez iniekcji.

Istnieje więcej technik, takich jak używanieload_file() ale to nadal nie pozwala mi manipulować bazą danych w takim stopniu, w jakim szukam.

Czy coś mi umyka? Czy jest jakiś inny sposób użycia tego zastrzyku do uzyskania kontroli nad bazą danych?