SQL Injection

SQL( Standard Quary Language ) 에 주입( Injection )되다.

중요한 것은 페킷에 어떤 특징이 있나 분석하는 것이다. 특수문자(주석처리를 시키는...)


User는 웹페이지에 Id와 Passward를 입력하면
Web server는 Database에게 Quary를 날린다.
Id는 ~~이고
Password는 ~~~이니?
         ↓
select * from useraccount

where username = 'id' --        ← 얘 덕분에 뒤에 패스워드부분은 주석처리됨
and passward = ''pw'

따라서 뒷부분인 페스워드는 확인 안하게 된다.