[Lord Of Sql injection] vampire

[Lord Of Sql injection] vampire

str_replace(search, replace, subject)

subject에서 발견한 search를 replace로 교체하는 함수이다.

 

$_GET[id] = str_replace("admin","",$_GET[id]);

id에 admin을 입력하면 id의 값을 비워버린다.

 

그런데 http://php.net/manual/kr/function.str-replace.php에서 위와 같은 정보를 얻을 수 있었다.

str_replace()는 방금 전에 푼 troll 문제의 ereg 함수 같이 대소문자를 구분하는 함수이다.

 

그러므로 이번에도 대소문자를 섞은 admin을 입력하면 문제가 풀린다.