sql injection 주석 사용 주의점

보통 sql injection을 사용할 때 '--' 주석을 많이들 사용한다. 예를들어

SELECT * FROM users WHERE uid='{uid}'

이런 sql 구문이 있다 그러면 uid에 ' or 1=1 -- 등을 입력 하면은 injection이 되겠지만 필자가 처음 저렇게 했을 때 오류가 나서 많이 당황했었다. 답은 띄어쓰기에 있다

' or 1=1--이렇게 사용하면 오류가 나지만

' or 1=1-- 이렇게 -- 주석 뒤에 띄어쓰기를 한 칸 해주면 오류가 나지않는다.

 

결론 : --주석 뒤에 띄어쓰기 한칸을 해주자.