社外秘/Confidential Secure Sky Technology Inc. 27 社外秘/Confidential SQLインジェクションの見つけ方 (ブラックボックス検査) … $sql = "SELECT * FROM items WHERE name LIKE '%" . $word . "%'"; … ?> SELECT * FROM items WHERE name LIKE '%SST%'; SELECT * FROM items WHERE name LIKE '%SST%' AND '%'='%'; SELECT * FROM items WHERE name LIKE '%SST%' AND 'X'='%'; 検索結果 10件 SQLインジェクションの脆弱性有りと判断 検索結果 10件 検索結果 0件
社外秘/Confidential Secure Sky Technology Inc. 54 社外秘/Confidential ● データに対する影響を考える ● DBのデータが破壊される可能性がある (特に本番環境は気をつける) ● データを破壊してしまうような検査文字列 ● DELETE FROM items WHERE date < '2017-06-' . $day; ● DELETE FROM items WHERE date < '2017-06-' OR 1=1;//';