关于MYSQL长字符截断的实现介绍

最新推荐文章于 2024-07-25 11:32:53 发布
最新推荐文章于 2024-07-25 11:32:53 发布
阅读量142 收藏
点赞数 1
分类专栏: 数据库 mysql 文章标签: mysql android 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hdxx2022/article/details/132493410
版权
数据库 同时被 2 个专栏收录
256 篇文章 3 订阅
订阅专栏
mysql
149 篇文章 2 订阅
订阅专栏
文章讲述了MySQL中长字符截断的实现,当sql_mode未开启严格模式时,插入超长字符会导致截断,可能引发安全漏洞,如通过注入攻击绕过权限检查。
摘要由CSDN通过智能技术生成

 

本文主要介绍了MySQL长字符截断的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着微点阅读小编来一起学习学习吧

MySQL超长字符截断又名"SQL-Column-Truncation",是安全研究者Stefan Esser在2008 年8月提出的。

在MySQL中的一个设置里有一个sql_mode选项,当sql_mode设置为default时,即没有开启STRICT_ALL_TABLES选项时(MySQLsql_mode默认即default),MySQL对插入超长的值只会提示warning,而不是error,这样就可能会导致一些截断问题。

新建一张表测试,表结构如下(MySQL5.1):

1

2

3

4

5

CREATE TABLE USERS(

id int(11) NOT NULL, //长度为7

username varchar(7)NOT NULL,

password varchar(12)NOT NULL ,

)

分别插入以下SQL语句(注入提示消息)。

①插入正常的SQL语句。

1

2

3

mysql> insert into users(id,username,password)values(1,'admin','admin');//成功插入,无警告,无错误

  

Query OK,1 row affected(0.00 sec)

②插入错误的SQL语句,此时的"admin "右面有三个空格,长度为8,已经超过了原有的规定长度。

1

2

3

mysql> insert into users(id,username,password)values(2,'admin       ','admin');

//成功插入,一个警告

Query OK,1 row affected,1 warning(0.00 sec)

③插入错误的SQL语句,长度已经超过原有的规定长度。

1

2

3

mysql> insert into users(id,username,password) values(3,'admin    x','admin');

//成功插入,一个警告

Query OK,1 row affected,1 warning(0.00 sec)

MySQL提示三条语句都已经插入到数据库,只不过后面两条语句产生了警告。那么最终有没有插入到数据库呢?执行SQL语句查看一下就知道了。

1

mysql> select username from users;

可以看到,三条数据都被插入到数据库,但值发生了变化,此时在通过length来取得长度,判断值的长度。

1

mysql> select length(username)from users where id =1 ;

可以发现,第二条与第三条数据的长度为7,也就是列的规定长度,由此可知,在默认情况下,如果数据超出列默认长度,MySQL会将其截断。

但这样何来攻击一说呢?

面查询用户名为'admin'的用户就知道了。

1

mysql> select username from users where username='admin';

只查询用户名为admin的用户,但是另外两个长度不一致的admin用户也被查询出,这样就会造成一些安全问题,比如,有一处管理员登录是这样判断的,语句如下:

1

$sql = "select count(*) from users where username='admin' and password='*******;

假设这条SQL语句没有任何注入漏洞,攻击者也可能登录到管理页面。假设管理员登录的用户名为 admin,那么攻击者仅需要注册一个"admin”用户即可轻易进入后台管理页面,像著名的WordPress就被这样的方式攻击过。

到此这篇关于MySQL长字符截断的实现示例的文章就介绍到这了,希望可以帮到你!

来源:微点阅读     https://www.weidianyuedu.com

hdxx2022
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql varchar 截断,MYSQL字符截断
weixin_27032989的博客
03-17 576
MYSQL字符截断即使没有任何注入漏洞,攻击者也可能登录到后台管理页面1、相关资料2、sql-mode的各项设置MySQL5.0以上版本支持三种sql_mode模式:ANSI、TRADITIONAL和STRICT_TRANS_TABLES。1、ANSI模式:宽松模式,更改语法和行为,使其更符合标准SQL。对插入数据进行校验,如果不符合定义类型或度,对数据类型调整或截断保存,报warning警告...
mysql 查询字段被截断_(SqlServe)关于字符串度被截断的问题
weixin_29157493的博客
01-19 2112
1. 问题描述在同步数据时常常会发现一个错误:将截断字符串或二进制数据。2. 问题原因这个问题出现的原因是:要插入的数值字段的度超出了数据库中字段的度。比如:插入字符串字节度是40,数据库中字段度设置为了varchar(36)就会报此错误。3.问题扩展a. 如何计算字符串度和字节度,既:datalength和len区别。len:返回字符串度datalength:返回字符串的字节...
默认的sql_mode,即使值的度超过字段的定义,也能截断数据插入
08-19 191
******************************************************MySQL 的第三个坑*************************************************...
MySQL 字符串截取操作
渔夫数据库笔记
10-27 8178
本文介绍MySQL 中如何进行字符串截取相关操作,以及相关截取函数的使用,比如 left(), right(), substring(), substring_index()、 mid(), substr()
MySQL 插入字符串截断问题
码厩技术博客
09-03 2027
MySQL 出现了一个问题,插入一个字符串(二十几KB)结果导致被截断。 首先排除了数据类型的问题,用的 mediumtext 类型。 接着排除了PHP 的问题,因为取出 SQL 直接在 MySQL 中执行还是被截断。 发现一点很奇怪,截断的那个字符串差不多很接近 8KB,如果加上其他字段的内容,可能正好等于 8KB。 在网上搜了一下可能和以下两项设置有关:     [mysqld]
MySQL字符截断
cyynid的博客
02-28 1148
MySQL中的一个设置里有一个sql_mode选项,当sql_mode设置为default时,即没有开启STRICT_ALL_TABLES选项时(MySQLsql_mode默认即default),MySQL插入的值只会提示warning,而不是error,这样就可能会导致一些截断问题。可以发现,第二条与第三条数据的度为7,也就是列的规定度,由此可知,在默认情况下,如果数据超出列默认度,MySQL会将其截断。③插入错误的SQL语句,度已经超过原有的规定度。①插入正常的SQL语句。
mysql 字符串截取_超字符串截断注入
weixin_36453829的博客
02-06 1283
该注入方法也是昨天看到某技术交流群聊到,闻所未闻便想要学习了,今天看某微信公众号的时候又再次看到关于”字符串截断注入“的文章.但是经过一番了解,其实这个注入姿势很难找到了,因为它需要满足以下条件。1.可以注册用户,而且可以注册带有空格的用户2.你需要知道管理员的账号看下面CODEmysql> create tabletest(-> id int,-> username varc...
MYSQL字符截断
weixin_50464560的博客
03-03 1383
本人freebuf文章:https://www.freebuf.com/vuls/264586.html MYSQL字符截断 即使没有任何注入漏洞,攻击者也可能登录到后台管理页面 1、相关资料 2、sql-mode的各项设置 MySQL5.0以上版本支持三种sql_mode模式:ANSI、TRADITIONAL和STRICT_TRANS_TABLES。 1、ANSI模式:宽松模式,更改语法和行为,使其更符合标准SQL。对插入数据进行校验,如果不符合定义类型或度,对数据类型调整或截断保存,报warni
mysql截断字段_mysql实现字符串截取
weixin_32892145的博客
02-18 1053
首先我们需要了解字符串截取函数:left(), right(), substring(), substring_index()。还有 mid(), substr()。其中,mid(), substr() 等价于 substring() 函数,substring() 的功能非常强大和灵活。(免费学习视频教程推荐:mysql视频教程)具体实例如下:1. 字符串截取:left(str, length)m...
mysql 自动超截取_默认的sql_mode,即使值的度超过字段的定义,也能截断数据插入...
weixin_30140093的博客
02-18 1013
******************************************************MySQL 的第三个坑***************************************************************默认模式,是非严格模式,插入的字段比定义的字段会自动截取,也不报错,产生数据混乱。root@test 09:13:09>select @...
MYSQL
maoqiwei的博客
07-23 203
1.修改student 表中年龄(sage)字段属性,数据类型由int 改变为smallint 2.为Course表中Cno 课程号字段设置索引,并查看索引 3.为SC表建立按学号(sno)和课程号(cno)组合的升序的主键索引,索引名为SC_INDEX4.创建一视图 stu info,查询全体学生的姓名,性别,课程名,成绩5.删除所有索引
测试开发面试题---MySQL
m0_53302824的博客
07-22 975
索引是数据库管理系统中用于提高数据检索速度的数据结构,它可以帮助快速定位数据不需要扫描全表。提高查询速度;唯一性约束,确保数据不会重复;辅助排序和分组;减少磁盘IO。
MySQL字段设置的varchar度小于数据度自动截取丢弃超出的度而不是报错?
weixin_43831997的博客
07-23 303
MySQL数据库设置为==严格模式(STRICT_TRANS_TABLES 或 STRICT_ALL_TABLES)==时,如果尝试插入或更新超过设定度的数据,将会导致错误,并阻止该事务进行。在默认情况下,或者在非严格模式(NO_STRICT)下,当插入度超出 VARCHAR 字段定义的字符串时,MySQL会自动截断超出的部分,并发出一个警告,而不是错误。
mysql定时备份
yandong634的专栏
07-25 233
注意:导出需要在数据库的my.ini文件中配置数据库用户和密码。右键【任务计划程序库】-》【创建基本任务】或【创建任务】在C盘新建文件夹【mysql-backup】和【bk】在【bk】下新建文件【backup.bat】在windows里面搜索【任务计划程序】
mysql中ONLY_FULL_GROUP_BY报错
zzzzzucc的博客
07-21 337
禁用会话级别的 ONLY_FULL_GROUP_BY SET SESSION sql_mode = ‘’;– 或者禁用全局级别的 ONLY_FULL_GROUP_BY SET GLOBAL sql_mode = ‘’;在 MySQL 中,sql_mode是一个服务器变量,用于定义 SQL 语句的运行模式。是sql_mode中的一个选项,它影响 SQL 查询中GROUP BY子句的行为。
python使用mysql,封装
最新发布
qq_34631220的博客
07-25 283
【代码】python使用mysql,封装。
Windows版MySQL5.7解压直用(如何卸载更换位置重新安装)
xzzteach的博客
07-21 317
【代码】Windows版MySQL5.7解压直用(如何卸载更换位置重新安装)
mysql如何把表中号码列改为文本格式
08-10
### 回答1: 可以使用以下SQL语句将MySQL表中的一个号码列改为文本格式: ``` ALTER TABLE table_name MODIFY COLUMN column_name VARCHAR(20); ``` 其中,`table_name` 为表名,`column_name` 为要修改的列名,`VARCHAR(20)` 表示将列类型修改为最大度为20的文本类型,可以根据实际情况进行调整。请注意,在修改列类型后,原有的数据可能会出现截断或转换错误的情况,需要谨慎操作。 ### 回答2: 在MySQL中,我们可以使用ALTER TABLE语句来修改表中的列。 要将表中的号码列改为文本格式,可以执行以下步骤: 1. 首先,我们需要登录到MySQL数据库。 2. 选择你要修改的数据库,使用以下命令:`USE database_name;` (将 database_name 替换为实际的数据库名称)。 3. 使用DESCRIBE语句来查看表的结构,确定要修改的列名。例如,假设要修改的表名为table_name,列名为phone_number,可以使用以下命令:`DESCRIBE table_name;` 4. 使用ALTER TABLE语句来修改列的数据类型和格式。例如,假设我们要将phone_number列改为文本格式,可以使用以下命令:`ALTER TABLE table_name MODIFY COLUMN phone_number VARCHAR(20);` (将 table_name 替换为实际的表名,VARCHAR(20)表示要改为的文本格式,可以根据实际情况调整度)。 5. 执行上述语句后,表中的phone_number列的数据类型将被修改为文本格式。 需要注意的是,修改列的数据类型可能会导致数据丢失或格式错误。在执行ALTER TABLE语句之前,建议先备份表的数据,以防万一。 另外,如果表中有大量的数据,修改列的数据类型可能需要花费较的时间。在执行ALTER TABLE语句时,请确保数据库服务器处于空闲状态,并考虑执行在非高峰期执行。 ### 回答3: 在MySQL中,可以使用ALTER TABLE语句将表中的号码列改为文本格式。 具体的步骤如下: 1. 打开MySQL命令行或MySQL可视化工具,连接到MySQL数据库。 2. 选择要修改的数据库,可以使用USE语句切换到目标数据库,例如:USE your_database; 3. 使用ALTER TABLE语句修改表结构。假设要将表名为your_table的号码列名为phone_number改为文本格式,可以使用以下语句: ALTER TABLE your_table MODIFY COLUMN phone_number VARCHAR(255); 其中,VARCHAR(255)表示将该列的数据类型修改为可变字符型,最大度为255。你也可以根据实际需求调整数据类型和度。 4. 执行以上ALTER TABLE语句后,号码列的数据类型会被修改为文本格式。 请注意,在执行ALTER TABLE语句前,最好先备份数据,以防发生意外情况。此外,修改表结构可能会导致表中已有的数据丢失或出现错误,所以请谨慎操作,确认无误后再进行修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值