listar nombres de tablas y nombre de campos de las tablas...

existe algun comando de mysql para que traiga los nombres de las tablas o nombres de los campos de una tabla... algo similar al getrows(); de php.. ?

yo grabo todas las consultas que se hacen en una pagina que tengo, y las almaceno en una tabla para llevar una estadistica...


pero el otro dia me tope con varias consultas raras en mis estadisticas:

enceguida me di cuenta que trataron de hacerme una inyeccion sql... pero al parecer no lograron hacerlo por que mi tabla no se llama users y mis nombres de campo no son user y pass.. y tambien probaron con otros nombres que no son...

ahora, pregunto:

tienen alguna forma de saber mis nombres de tablas o campos por algun comando? cual es el comando?

o su unica alternativa seria probar y tratar de adivinar por los nombres de los campos en los formularios?

osea que si la persona no conoce mi estructura de datos podria hacer algo asi:


?

No estoy seguro si funciona en MySql, pero en Oracle para ver los nombres de tablas parecidas a un string determinado:

select tname from tab where tname like '%...%;

O para ver todas:

select tname from tab;

En MySQL existen varias formas de conseguir el nombre de los campos y las tablas desde la base de datos. Esta es una

Para las tablas
SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES
WHERE table_schema = 'nombrebase'

Para los campos
SELECT COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS
WHERE table_name = 'nombretabla'
AND table_schema = 'nombrebase'

Tips de seguridad:
1. No utilices creación dinámica de sentencias. Son vulnerables.
2. Verifica que no queden abiertas las conexiones de clase superusuario más tiempo del necesario.
3. Trabaja las consultas, actualizaciones y eliminaciones por medio de procedimientos almacenados.
4. Haz que los superusuarios sean inaccesibles desde web, o al menos que deban hacer doble certificación (contra base y contra server).
5. Restringe los permisos de los usuarios de web. La registración debe hacerse contra casilla e-mail de tipo pop3, previa respuesta del usuario al mensaje de registración.
6. Encripta todos los nombres de tablas y los contenido de las tablas críticas. Puede consumir ciclos de microprocesador, pero tendrás mejor nivel de traceo.
7. Genera un registro de transacciones realizadas a la base.
8. Genera un diario de sesiones con la IP de los conectados, tiempo de conexión y usuario utilizado.
9. Restringe la IP desde donde se pueda conectar el usuario. Cada usuario desde una sola máquina.
10. Implementa SSL apenas puedas.

estoy tratando de autohakearme para comprender mejor como funcionan las inyecciones sql... y asi poder evitar que me las hagan...

esta es mi consulta:

como ven es vulnerable a inyecciones sql....

bue.. entonces loq ue hago es:

pero no me trae todos los datos... me tira el siguiente error:

eso quiere decir que no coinciden los numeros de columnas... pero como endria que modificar el codigo sql inyectado para que coincida?

Al fin lo logre!!!! me auto-hackee..

codigo:

-1/**/UNION/**/ALL/**/SELECT/**/concat(usuario,0x3a,password),null,3,4/**/FROM/**/usuarios/*----


Gracias a2a2, jurena y gnzsoloyo por los aportes!