안녕하세요! SQL 인젝션에 대하여 공부를 하던중 제가 미숙한 SQL 문법을 발견해서 실험을 해본 내용을 남기는 글입니다!해당 내용을 공부하며 Blind SQL 인젝션 진행시 ASCII를 굳이 쓸 필요 없이 if구문을 를 사용할 수도 있다는 것을 깨달았습니다. if 문으로 참 거짓이 바뀌는 것을 통해 Blind SQL 인젝션을 진행할때 사용해볼 수 있을것 같습니다. 개인적으로 ascii 값을 비교해서 하는방법이 힘들었는데 그것보다는 편해서 종종 이용해볼 것 같습니다 :) SQL 인젝션 공부중 문자 하나만 출력해야 하는 상황에서 드는 의문이 있었습니다. SQL 구문 결과값을 한문자만 출력하거나 TRUE , FALSE 로 출력하려면 어떻게 해야할까?실험 1. 우선 기존의 로그인을 시도한다면 아래와 같은 구문..

웹 해킹 기법중 'SQL 인젝션' 이라는 공격이 있다.그 공격을 사용하면서 주로 썻던 문법을 적어볼까 한다.     ORDER BYUNIONLIMITLIKE이해하기 쉽게 설명은 간략! 예시를 위주로! - ORDER BY 용도  :  사용법 : SELECT [컬럼명] FROM [테이블 명] ORDER BY [컬럼명]              => [컬럼명]을 기준으로 정렬을 하라!             **[컬럼명] 이 숫자일땐? : 인덱스에 맞는 컬럼으로 정렬하라!            예를들어 컬럼이 ID,NAME,PASS,NUMBER 이런식으로 4가지가 있다고 가정하자.            여기서 SELECT * FROM TEST ORDER BY 2 라고 하게 되면 NAME 이라는 컬럼을 기준으로 정렬하..

웹 개발을 하다보면 우리는 DB(데이터베이스)라는 것이 필요해 진다. Table 이라는 상자 안에 행(row) 과 열(Column) 으로 이루어진 데이터가 있다고 생각하면 쉽다.> 그래야 파라미터 값들이나 ID 같은 식별정보를 웹 페이지와 상호작용 시킬 수 있기 때문이다.그래서 이건 개발을 하려면 필수다. SQL 의 역사나 정의는 다루지 않을것이다..우리는 진짜 필요한 알짜배기 지식들만 알고있으면 된다.SQL 에선 특정 구문을 사용하여 데이터를 읽어오고,삭제하고,수정하고,작성한다.   가장 기본적으로 sql 문법은 4가지 라고 생각한다 -SELECT-INSERT-DELETE-UPDATE (예시로 이해하는 것이 빠를것 이다.)DB에서 데이터를 읽어오는 역할을 한다.사용방법은 다음과 같다: SELCET [컬..