EUC-KR

[webhacking.kr] old-45 (sqli → addslashes)

문제분석 & 풀이sql injection 문구과 로그인 창이 있다. 써있는 값 그대로 로그인 해보니 guest 계정으로 로그인 됐다. 아마 admin의 계정으로 로그인하는 것이 목표인 문제라고 예상된다. /i",$_GET['id'])) exit(); if(preg_match("/admin|select|limit|pw|=|/i",$_GET['pw'])) exit(); $result = mysqli_fetch_array(mysqli_query($db,"select id from chall45 where id='{$_GET['id']}' and pw=md5('{$_GET['pw']}')")); if($result){ echo "hi {$result['id']}"; if($re..