Bir SQL Server veritabanındaki enjeksiyon saldırılarına karşı dayanıklılığı test ediyorum.
Db'deki tüm tablo isimleri küçük harflidir ve harmanlama büyük / küçük harfe duyarlıdır, Latin1_General_CS_AS .
Gönderebileceğim dize büyük harfe zorlanıyor ve uzunluğu maksimum 26 karakter olabilir. Bu yüzden bir DROP TABLOSU gönderemiyorum, çünkü tablo adı büyük harf olur ve böylece ifade harmanlama nedeniyle başarısız olur.
Peki, 26 karakterde yapabileceğim maksimum hasar nedir?
DÜZENLE
Parametrelenmiş sorgular hakkında her şeyi biliyorum ve bunun gibi - hadi gönderelim ki sorguyu oluşturan ön ucu geliştiren kişi bu durumda param kullanmadı.
Ben de çılgınca bir şey yapmaya çalışmıyorum, bu aynı organizasyonda başkası tarafından yaptırılan bir sistem.