preg_match 함수

웹 해킹 문제를 풀다보면 preg_match 함수로 일부 키워드들을 필터링 한 문제들이 많이 보인다.

 

preg_match("/admin|0x|#|hex|char|select/i",$_POST['phone']);

 

'|'로 필터링하는 단어들을 구분하고 뒤에 i 옵션을 이용해 대소문자 구분을 하지 않는다.

 

*정규식 참고하기

 

따로 알아낸 정규식들 정리

 

\d => 모든 숫자

\x20 => 스페이스

\& => 리터럴로 변환 즉, &문자 사용 불가능

 

preg_match("/or|union|admin|\||\&|\d|-|\\\\|\x09|\x0b|\x0c|\x0d|\x20|\//",$t)

이렇게 하면 %09같은거 못