해당 문제는 SQL injection 문제로, 소스 코드는 다음과 같다.

<?php
  if($_GET['no']){
  $db = dbconnect();
  if(preg_match("/#|select|\\(| |limit|=|0x/i",$_GET['no'])) exit("no hack");
  $r=mysqli_fetch_array(mysqli_query($db,"select id from chall27 where id='guest' and no=({$_GET['no']})")) or die("query error");
  if($r['id']=="guest") echo("guest");
  if($r['id']=="admin") solve(27); // admin's no = 2
}
?>

• 소스코드를 확인하면, no 값이 2가 되기만 하면 플래그를 획득할 수 있다는 것을 알 수 있다.
• preg_match("/#|select|\\(| |limit|=|0x/i",$_GET['no']) 를 보면, $_GET['no']에 담긴 값이 "#", "select", "(", 공백, "limit", "=", "0x" 중 하나라도 포함되어 있는지를 대소문자 무시하고 필터링한다는 것을 알 수 있다.
• 공백의 경우에는 %09(탭)으로 =는 like로 대체 가능하기 때문에 이 점을 고려해 sql을 작성하면 된다.
• (아무 값)뒤에 %09or%09no%09like%09--%09와 같은 값을 넣어주면 해결된다는 것을 알 수 있는데, 입력칸에 넣어 보낸다면 인코딩이 2번 수행되어 오류가 뜨게 된다. 따라서 입력칸이 아닌 주소창에 입력을 해준다면 문제를 해결할 수 있다.