我需要一些帮助。

假设我使用sql注入方法来获取网站的数据库名称，并设法从表中获取所有数据，是否可以更改这些数据而不必使用基本sql客户端在服务器上进行标识？

谢谢。

（我希望答案对于所有数据库类型都是通用的，但如果不是，则所讨论的数据库版本为mysql）

它取决于授予数据库帐户的特权，Web服务器用于连接数据库的数据库用户以及SQL Injection漏洞的性质。

如果该漏洞足够开放，可以让您从所有表中提取所有数据，则该网站可能容易受到过程的创建和更改以及对表的INSERT / UPDATE / DELETE操作的攻击。 （创建不受SQL注入攻击的网站时会产生同样的疏忽和疏忽，这通常与专门用于确定数据库特权的疏忽相同……（我将只使用“ root”，否则使用对所有对象都具有所有特权的数据库帐户...）

创建一个容易受到这种注入攻击的网站是完全可能的，而且相对容易。

（而且StackOverflow的问题和答案中充斥着各种示例，这些示例使您需要以这种方式使网站易受攻击。SQL注入漏洞只是冰山一角...如果网站以这种方式不安全，则几乎可以肯定还有其他漏洞（SQL注入恰好是一个非常容易利用的漏洞。）

这些不安全的模式使开发人员习惯了...

（毕竟，我正在开发的该网站“仅用于开发/教育/使用/等等。”，“因此安全性不是问题”或“在获得所有安全信息后，我将解决安全漏洞它开发，调试，测试了” yada，yada，yada

...那些用于编写不安全代码的模式已经牢牢扎根。