# SQL injection attack, querying the database type and version on Oracle * Bài lab yêu cầu chúng ta dùng SQLi để hiển thị database version. Trước tiên ta thêm `'` vào query để kiểm tra lỗi. Ta thấy được thêm thông tin database được sử dụng là Oracle.  * Tiếp theo đó ta sử dụng `' ORDER BY n--` để tìm số column. Ở đây khi thử tới `' ORDER BY 3--` thì server báo lỗi. Vậy column thứ 3 không tồn tại, ta có 2 column.  * Tiếp theo, ta sử dụng `' UNION SELECT '1','2' FROM DUAL--` thêm vào query để kiểm tra xem column nào có hiển thị giá trị trên màn hình. Sau khi kiểm tra thì cả 2 column đều hiển thị.  * Cuối cùng là hiển thị thông tin database version, ta chỉ cần sửa payload ở trên lại thành `' UNION SELECT banner,NULL FROM v$version--`, payload này có trong cheat sheet của PortSwigger. Thông tin database version đã hiển thị. Hoàn thành bài lab.