SQLインジェクション攻撃SQLポイント

2015.10.16 02:26

以下のSQL文でテーブル名を見れる。

' UNION SELECT table_schema,table_name,table_type,engine FROM information_schema.tables #

この文のselect parameterの数と実際のSQLにあるselect parameterの数を一緒にしないと、SQL文法エラーがでるので、注意すべき。

nullで埋めて、parameter数を試すのは一般的なやりかた。

Fluffy's World