Error-based Blind SQL Injection - Satoooon1024 CTF Wiki

Error-based Blind SQL Injection

エラーの有無を利用して情報を窃取するSQL Injection

SQLクエリの結果がこちら側に出力されず、SQLのエラーが出力されるときに有効

基本的なアイデアはTime-based Blind SQL Injectionと同じ

Error-basedが可能なとき、Time-basedもだいたい可能

Error-basedの方が楽なときがある

IF文の結果がtrueのときに1/0の評価などでエラーを起こすようにすることで、エラーになるかならないかでTime-basedと同様に特定できる

工夫すればerror文に直接内容を出力できる場合もある