728x90
보통 sql injection을 사용할 때 '--' 주석을 많이들 사용한다. 예를들어
SELECT * FROM users WHERE uid='{uid}'이런 sql 구문이 있다 그러면 uid에 ' or 1=1 -- 등을 입력 하면은 injection이 되겠지만 필자가 처음 저렇게 했을 때 오류가 나서 많이 당황했었다. 답은 띄어쓰기에 있다
' or 1=1--이렇게 사용하면 오류가 나지만
' or 1=1-- 이렇게 -- 주석 뒤에 띄어쓰기를 한 칸 해주면 오류가 나지않는다.
결론 : --주석 뒤에 띄어쓰기 한칸을 해주자.
728x90
반응형
'Web Hacking > Information' 카테고리의 다른 글
| 칼리 리눅스를 활용한 실전 모의해킹 (0) | 2023.11.20 |
|---|---|
| SQL INJECTION 예방책 - prepared statement (0) | 2023.10.28 |
| bit연산 이용한 Blind sql injection 기술 (0) | 2023.10.16 |
| php에서 셸 스크립트 언어 사용하기 (0) | 2023.10.10 |
| SQL Injection 공격 방법 (논리 연산자 & 주석) (0) | 2023.09.17 |
