Задать вопрос
@SSSSTTTTAAAASSSS

SQL injection в Postgres и GO?

Добрый день всем!
Уже битый час бьюсь не могу сделать SQLi в своей DB поднятой в докере.
Цель - сломать базу. По всей информации это можно, и даже легко, но у меня совсем не получается.
Что имеем:
blacklist со следующими символами: {"\"", "#", "-"} - эти символы вытираются, если встречаются в строке.
квери, которая идет запросом в базу:
`SELECT id FROM users WHERE username='` + username + `'`

В юзернейм могу писать все что угодно, без указанных символов в blacklist-e.
Что пробовал:
Robert';DROP TABLE users;
Robert';DROP TABLE users
Robert;DROP TABLE users:
Robert';DROP TABLE users'
Robert';DROP TABLE users/*
Robert';DROP TABLE users;/*
Robert';DROP TABLE users:
'DROP TABLE users;
Robert');DROP TABLE users:

Ну и еще со скобками в разных вариацих, апострофами и т.д.
Почти везде одна и таже ошибка в коснсоле у POSTGRES:
ERROR:  syntax error at or near .... at character XX

И хз как мне дропнуть тут базу...
Может кто может помочь?)
Заранее спасибо
  • Вопрос задан
  • 248 просмотров
Подписаться 1 Простой 4 комментария
Пригласить эксперта
Ответы на вопрос 2
@FedorWK
Судя по данному вопросу на SO, дефолтный sql-драйвер не поддерживает выполнение нескольких statement в одном запросе
Ответ написан
Vapaamies
@Vapaamies
Психанул и снес свои ответы не отмечающим решения…
А использовать параметры не?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы