SQL 인젝션 우회
* ‘or’와 ‘and’가 필터링 시 &(and)와 | (or) 사용 → 띄어쓰기 없이 &&, || 두번 입력 * ‘or’와 ‘and’가 필터링 시 and는 %26%26, or는 %7C%7C로 url 인코딩 우회 * ‘=‘ 우회 → like와 instr 함수 사용 like >> 1 like 1 instr >> instr(1,1); * 싱글 쿼터(‘) 우회 → 더블 쿼터(“) 사용, 백슬래쉬(\) 사용, 'char' 사용 * 공백기호 필터링 %20(--), %0A(개행문자), %09(탭 만큼 이동), 주석(/**/), 괄호(()), +(더하기), %23(#) 등 * preg_match 에서 admin 문자를 필터링 → Admin 등으로 우회 * replace 에서 admin 대소문자 우회 막을 시 → re..
2022. 4. 22.
