はじめてのSQLインジェクション #23
今日やったこと
まいにちRedux
今日もやりました。毎日同じこと言い続けてもつまらないのでテキトウに書くと、とある講義中に某スゴイ後輩が10分位でちゃちゃっとカウンター作ってくれたので僕はリセット機能を実装してみました。
う〜ん、わかってきたようなわからないような。
はじめてのSQLインジェクション
サークルで遊んでみました。
攻撃されたのは私の講義中に作っている住所録です。
全部出てるw
一応なにをやっているかというと、GETリクエストのURLクエリに1=1--
と渡すことで1=1、つまり常にtrueとなり全レコードが抽出されたというわけですね。
--
はSQLのコメントアウトらしく、コレ以降の命令を無視してるわけですね。なるほど。
まぁ、サーバー側で非常に不適切な実装をしているのが原因です。気が向いたら(TAにツッコまれたら)直します…。
雑談
あたまがいたいです。
でも、おべんきょうもしたい。
あと、ハンドスピナークルクルしてます。ハマるアレ。