쿼리를 보면 마지막에 '가 빠져 있어서 추가해주어야 한다. id에 admin'을 넣으면 admin으로 로그인할 수 있다.
admin + 공백 9개 + '를 id에 넣으면 str_replace로 추가된 '가 substr()에 의해 잘려서, 정상적으로 쿼리가 실행된다.
728x90
h0meb0dy
[Webhacking.kr] old-39