yo grabo todas las consultas que se hacen en una pagina que tengo, y las almaceno en una tabla para llevar una estadistica...
pero el otro dia me tope con varias consultas raras en mis estadisticas:
Código HTML:
www.mipagina.com/setctor.php?id=-1/**/UNION/**/ALL/**/SELECT/**/1,2,concat(user,0x3a,pass),null,5,6/**/FROM/**/users/*
enceguida me di cuenta que trataron de hacerme una inyeccion sql... pero al parecer no lograron hacerlo por que mi tabla no se llama users y mis nombres de campo no son user y pass.. y tambien probaron con otros nombres que no son...
ahora, pregunto:
tienen alguna forma de saber mis nombres de tablas o campos por algun comando? cual es el comando?
o su unica alternativa seria probar y tratar de adivinar por los nombres de los campos en los formularios?