SQL Injection Attacks by Example

역시나 trax님 홈에서. (serene라고 해야 좋아하시려나.)

제가 운영하는 사이트를 직접 공격해보려고 했는데 (코드는 제가 안짰음. 전 항상 prepared statement류만 써서 injection 이 아예 안되게 봉쇄하는 편..), 잘 안되더군요. 뭐 여러가지 문제가 있으니까요.. 가령 공백이라던가… 인코딩해서 넣어야된다라던가 하는게 귀찮아서 좀 해보다가 말았죠..

하지만, 국내 커뮤니티에 보면 스크립트 태그 잘 조작해서 크로스스크립팅 하는건 가능한 경우가 많더군요.. 체크하는데 한계가 있고, 사실 누가 공격도 안하니까 그런거 같아요…

링크의 글 중에 테이블 이름 알아내기 부분이 유용(?)하군요.