[워게임 LOS] 문제 8번, 트롤(Troll)

Lord Of SQL injection, 문제 8번 트롤입니다.

id 파라미터를 검사하는데 preg_match가 아니라 ereg를 사용합니다.

이때는 ereg에 대해서 검색할 필요가 있습니다.

ereg가 잘 정리된 사이트는 여기네요.

ereg는 대소문자를 구분하지 않는다고 합니다.

여기서 소문자 admin만 체크한다면 어떻게 푸시는지 아시겠죠?

id=Admin

위와 같은 문자열은 admin으로 체크하지 못한다는 것입니다.

%00을 쓰는 방법도 있었는데 여기서는 안되더라구요.

ereg는 보다시피 취약한 함수이기 때문에 preg_match를 쓰는 것이 옳습니다.