sql injection tech

SQL Injection Tech

- H3X0R, s1ipp3r 팀 소속 윤석찬(ch4n3) -

---

방금 엄청난 쿼리를 얻었다. \\\ 

SQL과 연동된 부분에서 " , "(컴마)가 필터링되는 경우가 있는데 이 경우 우회할 수 있는 방법이 있다. 

select substr('admin' from 1 for 1)=substr('admin', 1,1);

+---------------------------------------------------+

| substr('admin' from 1 for 1)=substr('admin', 1,1) |

+---------------------------------------------------+

|                                                 1 |

+---------------------------------------------------+

1 row in set (0.00 sec)

substr('admin' from 1 for 1)은 

substr('admin', 1, 1)과 같은 뜻이다. 이렇게 우회할 수 있다.