[ask]sql injection update command

[apriliana]

ok tanpa basa basi,
saya ada kendala ini soal sql injection yg perintah update.anggaplah user yg kita pakai itu ada priviledge untuk update.
nah yg saya ingin tanyakan bagaimana sintax yg diketikan di url browser itu.
saya sudah coba cari2 yg ada hanya lah perintah update yg lewat console mysql,memang perintahnya sama yaitu
UPDATE nama_table SET bla bla bla.

saya masih bingung penempatan di url di browsernya langsung,apakah menjadi seperti:
http://xxx/zz.php?id=-7+union+update+us ... ,9,10,11-- ataukah
http://xxx/zz.php?id=-7+union+1,2,updat ... ,9,10,11-- ataukah
http://xxx/zz.php?id=-7+union+1,2,3,4,5 ... +set=bla-- ataukah ada yg lain?

saya sudah coba berbagai macam kombinasi tetapi masih belum menemukan cara yg bener.

saya dag gogling2 yg ada sqlinjec biasa,mohon kepada temen2 smua untuk berbagi informasi.
terima kasih sebelumnya,salam sukses ehehhe
:tapa:

[3xtr3m3b0y]

Formatnya sprt ini Kaka (multiple query dipisahkan dgn tanda semicolon) :

Code: Select all

http://xxx/zz.php?id=7; UPDATE <nama tabel> set <nama kolom>='Isi Kolom' where id=7;

Hanya kendalanya kita gak bisa melakukan itu krn parameter mysql_query di PHP tidak support multiple query.

Referensi:
http://php.net/manual/en/function.mysql-query.php

[apriliana]

ok makasih kk atas penjelassannya.
aku kira bisa kita update jd kan enak hehehe

[3xtr3m3b0y]

Klo ASP Page kayaknya bisa, soalnya dulu Om Dani Firmansyah inject situs KPU dan update database langsung dari URL.

[princenux]

hmm jadi kesimpulannya gak bisa yah
kecuali memang pake php lama bgt....

[apriliana]

yoi ternyata kesimpulannya ga bisa di php.

wah ternyata yg view banyak juga,pada penasaran juga ya ma pertanyaanku.. :love:

case closed,thx

[chinawangzi]

ah learn!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!