MYSQL updatexml() 関数のエラーインジェクション分析

まず、updatexml()関数を理解する

UPDATEXML (XML ドキュメント、XPath 文字列、新しい値);

最初のパラメータ: XML_document は文字列形式で、XML ドキュメント オブジェクトの名前 (この記事では Doc) です。

2 番目のパラメータ: XPath_string (Xpath 形式の文字列)。Xpath 構文がわからない場合は、オンラインでチュートリアルを見つけることができます。

3番目のパラメータ: new_value（文字列形式）は、条件を満たす見つかったデータを置き換えます。

機能: ドキュメント内の条件を満たすノードの値を変更する

XML_documentのXPATH_stringの値を変更する

そして、注入ステートメントは次のようになります。

updatexml(1、連結(0x7e、(SELECT @@version)、0x7e)、1)

concat() 関数はそれらを文字列に連結するため、XPATH_string の形式に準拠せず、形式エラーが発生します。

エラー 1105 (HY000): XPATH 構文エラー: ':root@localhost'

xpath 構文形式の概要: https://www.jb51.net/article/125607.htm

要約する

以上がMYSQL updatexml()関数のエラーインジェクション分析に関するこの記事の内容です。皆様のお役に立てれば幸いです。興味のある方は、MySQL の準備原則、いくつかの重要な MySQL 変数、MySQL テーブル データを削除する方法などの詳細な説明を参照してください。質問がある場合は、いつでもメッセージを残すことができます。誰でもコミュニケーションと議論を歓迎します。また、このサイトをサポートしてくれた友人たちにも感謝したいと思います。