인프런 커뮤니티 질문&답변
작성한 질문수
데이터타입이 문자형인 경우의 Inline-Query에서
작성
·
161
3
데이터 타입이 문자형인 경우 iN-LINE QUERY에서
SELECT * FROM member WHERE user_id='hacker' and 1=1 and '1'='1'
반드시 1=1이 들어가야 한다고 하셨는데,
SELECT * FROM member WHERE user_id='hacker' and '1'='1'
이렇게 페이로드를 작성하면 안되나요?!
답변 1
3
크리핵티브
지식공유자
안녕하세요.
SELECT * FROM member WHERE user_id='hacker' and '1'='1'
참/거짓 판단은 위와 같이 하셔도 상관없습니다.
그러나, 이후 데이터 조회 공격을 진행할 때 조건 구문을 반드시 만들어 줘야 합니다.
해당 조건 부분에 데이터 조회를 위한 공격 페이로드가 들어 갑니다.
이에 대한 부분은 뒷 내용을 이해하시면 아마도 자연스레 이해가 되실겁니다.