ゆるふわ技術日誌

ゆるくふわっと広く浅く。

はじめてのSQLインジェクション #23

今日やったこと

まいにちRedux

今日もやりました。毎日同じこと言い続けてもつまらないのでテキトウに書くと、とある講義中に某スゴイ後輩が10分位でちゃちゃっとカウンター作ってくれたので僕はリセット機能を実装してみました。

後輩さまの作ったリポジトリこちら。

github.com

う〜ん、わかってきたようなわからないような。

はじめてのSQLインジェクション

サークルで遊んでみました。

攻撃されたのは私の講義中に作っている住所録です。

f:id:uutarou:20170606225209p:plain

全部出てるw

一応なにをやっているかというと、GETリクエストのURLクエリに1=1--と渡すことで1=1、つまり常にtrueとなり全レコードが抽出されたというわけですね。

--SQLコメントアウトらしく、コレ以降の命令を無視してるわけですね。なるほど。

まぁ、サーバー側で非常に不適切な実装をしているのが原因です。気が向いたら(TAにツッコまれたら)直します…。

雑談

あたまがいたいです。

でも、おべんきょうもしたい。

あと、ハンドスピナークルクルしてます。ハマるアレ。