난이도 하 sqli_2.php 페이지의 경우 변수 값이 URL이 그대로 노출되는 것으로 보아, GET메서드를 이용하여 HTTP 연결 요청하는 것을 확인할 수 있다.movie라는 변수를 주고 값을 숫자형으로 입력 받고 있다.movie 변수값에 작은따옴표를 입력해보면 오류가 뜨는 것을 확인 할 수 있다. SQL Injection이 가능하다는 것을 알 수 있다.GET/Search 페이지에서 했던 것처럼 칼럼의 수를 알기 위하여 UNION SELECT ALL 1,2,3,4,5,6,7#을 해보았다.다른 정보들도 얻기위하여 아래와 같이 입력해보앗다.0 union select null,database(),@@version,@@datadir,null,null,null database() : 데이터베이스 이름을 알려주는함수@@datadir : 데이터베이스 서..........
원문링크 : SQL 인젝션 - GET/Select
네이버 블로그
티스토리
커뮤니티