sql 문자열 결합 방법

sql injection공격을 진행할 때 

단순 문자열을 필터링 하고 있는 경우 문자열을 결합할 경우가 생기는데 방식은 아래와 같다.

 

1. Mysql 

    - mysql 에서는 문자열을 결합할 때 공백을 이용한다 만약 "admin"이라는 문자열을 필터링하고 있을 경우

    ex) 'ad' 'min' 

 

2. Oracle

    - Oracle 에서는 || 을 이용하며, 만약 "admin"라는 문자열을 필터링하고 있을 경우

    ex) 'ad' || 'min'

 

3. Mssql 

    - Mssql 에서는 + 을 이용하며, 만약 "admin"라는 문자열을 필터링하고 있을 경우

    ex) 'ad' || 'min'