필터링 우회

- 공백 문자 우회

\n (line feed)

개행 문자

%0a

 

\t (tab)

탭 문자

%09

 

\r (carriage return)

커서를 줄의 맨 앞으로 이동시키는 개행문자

%0d

 

/**/ (주석)

/**/

 

() (괄호)

()

 

+ (더하기)

 

%0b, %0c, %a0

위의 우회 방법이 먹히지 않을 경우 공백 대신 사용

 

 

 

- 논리 연산자, 비교 연산자

or 연산자

||

 

and 연산자

&&

%26%26

 

= (등호)

like : 정규표현식 가능

in 

instr

부등호

 

 

 

- 함수 우회

str_replace

필터링되는 문자열 사이에 문자열 넣기

 

substr

substring

mid

right(left())

 

ascii

ord() : 문자열을 아스키코드 값으로 변환

hex() : 문자열을 아스키코드 헥사값으로 변환

 

 

 

- 주석

--

뒤에 반드시 공백이 있어야 정상적인 처리 가능 

한줄만 주석처리

 

#

%23

뒤에 공백 없이 주석 처리 가능

한줄만 주석처리

 

/**/ 

/* */ 사이의 문자열 모두 주석처리

 

;%00

널문자 %00와 ;이 결합한 주석 처리

 

 

 

- 싱글쿼터 우회

" (더블쿼터) 사용

 

\ (백슬러시) 사용