반응형
sql injection을 하다보면 query문을 참인 값으로 만들기 위해 뒤에 문장을 주석 처리하는 경우가 많다.
이럴 때 주석처리의 의미를 가지고 있는 다양한 방법
첫 번째 - # (%23)
- 주소에서는 %23으로 사용한다.
- 해당 문장에서 그 문장 한줄만 주석처리 한다. (# 뒷부분)
두 번째 - /**/
- 주소에서 그대로 사용된다.
- /*부터 */까지 주석처리 한다.
- /* /* */ */ 이런 상황이면 먼저 열리고 먼저 닫힌 것까지 주석처리 (/* /* */ */)
세 번째 - --
- 주소에서 그대로 사용된다.
- 해당 문장에서 그 문장 한줄만 주석처리한다. (-- 뒷부분)
- --바로 뒤에 공백이나 다른 문자가 있어야지 주석으로 성립된다.
네 번째 - ;%00
- %00은 NULL을 의미한다.
- ; 뒤에 NULL이 합쳐짐으로써 SQL에서 한 줄을 주석처리할 수 있다.
반응형
'웹해킹 > sql injection' 카테고리의 다른 글
| SQL Injection - Blind SQL Injection 기법 (0) | 2021.07.12 |
|---|---|
| SQL Injection 필터링 우회 방법 - 대표 함수편 (0) | 2021.07.08 |
| SQL Injection 필터링 우회 방법 - 연산자편 (0) | 2021.07.08 |
| SQL Injection 필터링 우회 방법 - 공백편 (0) | 2021.07.07 |