php + apache + mysql 로 프로그램 하나 만들고 있는데요

제로보드 엑스프레스에 외부 페이지로 집어 넣고 있습니다.

 

웹단에서 테스트 할때는 변수에 인젝션 가능 문자열 다 걸러내서 처리가 되는데요

sqlmap에서 테스트 해보니까 그냥 다 뚫리네요.

 

처리 방식이 페이지 상단에서 허용하지 않는 문자열이 있으면 스크립트 코드를 이용해서 페이지를 이동시키고

이후 코드도 비허용 문자열이 없을때만 실행하도록 처리했는데

sqlmap은 이걸 어떻게 뚫는 것일까요?

 

근데 희안한것은

제가 만든 페이지를 빈페이지로 만들어서 테스트 해봐도 뚫리네요.

제 코드가 문제는 아닌 것 같은데 어떻게 처리해야할지 막막하네요.