SQL Injection 공격의 원리를 다시 한 번 확인해보자.
WebGoat를 실행한 후 [Injection Flaws] - [String SQL Injection] 을 클릭한다.

Enter your last name에 Smith 입력

Enter your last name에 이름으로 Smith를 입력한 뒤 화면을 보면 다음과 같은 쿼리문이 만들어진 것을 확인할 수 있다.
SELECT * FROM user_data WHERE last_name = 'Smith'
FIRST_NAME 이 Smith 인 사람의 정보를 가져와준다.

Enter your last name에 'or''=' 입력

Enter your last name에 'or''='를 입력하면 다음과 같은 쿼리문이 만들어진다.
SELECT * FROM user_data WHERE last_name = ''or''=''
SQL Injection-2 에서 설명해 놓은 것과 같이 쿼리문은 참이 되기 때문에 모든 데이터가 출력된다.