SQLi 문자열 비교(?)
2017. 1. 12. 00:36
오늘은 그냥 삘와서 이것저것 쿼리를 연구하다가 발견한게 하나 있음
바로 이거임.
sql에서 문자열은 0 취급되는 건 대충 알고 있을 거임. 그래서 이런 현상이 생기는 것 같음.
문자열이 0이기 때문에 id=1이 거짓이 될 수 밖에 없고, 그 결과 empty set이 나오는 거임
이건 조금 흥미로워서 내 워게임에도 등록해 놔야겠음.
'Hacking > Web.' 카테고리의 다른 글
| Blind SQL Injection 시 테이블 수 (0) | 2017.01.22 |
|---|---|
| Error Based SQLi (2) | 2017.01.20 |
| [SQLi] like 비교에서의 blind injection (0) | 2016.12.17 |
| [SQL injection] _(언더바) (0) | 2016.12.17 |
| SQLi 테이블에 있는 칼럼의 갯수 (0) | 2016.11.27 |