Salve ragazzi, questa sera stavo provando in locale a vedere se il server sql 2000 Ŕ vulnerabile ad attacchi di questo tipo,cosi come Ŕ senza essere stato configurato in maniera diversa.
In particolare ho tentato a dare:
http://localhost/prova/prova.asp?id=3 UNION ALL SELECT table_name,0,1,2,3,4,5 FROM information_schema.tables

In questo modo non vi Ŕ possiblitÓ di riuscire a scoprire il nome delle tabelle a causa della union che pretende un numero pari di risultati.

se invece elimino union all e inserisco un ; il comando viene eseguito , ma non ha risultati o meglio la pagina risultante Ŕ vuota ,dunque mi pare che la situazione sia sicura.
E' cosi?O ci sono altri modi per trovare il nome delle tabelle?
Thanks a lor