56

webhacking.kr Level 56 문제풀이

Level 56 noidsubjectsecret 1adminreadme0 2guesthi~1 search : 소스 코드에서 불필요한 부분은 제거한 코드이다. 소스코드에 별다른게 없어 search 에 문자를 무작위로 넣고 제출해보았다. 테이블에 아무런 정보가 뜨지 않는다. 입력 값에 따라서 테이블에 나오는 값이 달랐다. '_'를 4개 넣어보니 admin만 출력 되었다. 즉, like 명령어를 통해 조회하고 있음을 알 수 있었다. 테스트 결과 쿼리문은 select * from broad where subject like '%$search%' 라고 생각되어진다. LIKE는 특정 문자열 정보가 포함된 데이터를 뽑을 때 사용한다. LIKE에서 '_' 를 이용하여 글자수를 나타낸다. 밑줄 문자 '_' 를 사용하여 ..