mysql에서 delete할때 삭제버튼 누르면 password 입력해서 삭제되잖아요.
delete from board where idx=8 and password='' or idx=8-- '
' or idx=8-- 를 패스워드에 넣어주면 idx=8 and password='' 무의미해지고 idx=8만 의미해지니까 idx=8인 게시판을 삭제해야되는거 아닌가요?
왜 글번호가 2번인 idx 게시물을 삭제할때 idx=8넣고 삭제하면 2가 삭제가 될까요?
&nbsp;

원래 서버 측 쿼리가 그렇게 작성이 되어 있다면 8번 게시글 삭제되는 것이 맞습니다.
그러나 현재 가상 환경의 소스코드 확인이 필요 할 듯 합니다.
공부를 위해 정답은 말씀드리지 않고,
action.php 소스코드를 확인해보면 그 이유를 알 수 있을 듯 합니다.

인프런 커뮤니티 질문&답변

[실습3-4] 인증 우회 공격을 통한 타 사용자 게시글 무단 수정, 삭제 실습