宽字节注入

于 2020-03-18 17:17:45 发布
阅读量293 收藏
点赞数
分类专栏: SQL注入学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40939688/article/details/104946433
版权
本文介绍了宽字节注入的概念,以第32关为例阐述其原理,并探讨了多种防御方法,包括切换到UTF-8编码、使用mysql_real_escape_string函数以及在数据库查询时设置character set。
摘要由CSDN通过智能技术生成

宽字节注入原理

在这里插入图片描述

宽字节注入方法

以第32关为例,输入单引号后会经过check_addslashes函数替换
在这里插入图片描述
数据库连接的时候使用的是gbk编码
在这里插入图片描述
当输入http://127.0.0.1/Less-32/?id=2'%23
在这里插入图片描述
可以开始查询了
在这里插入图片描述

宽字节防御:
1、 使用utf-8,避免宽字节注入
不仅在gbk编码中存在宽字节注入,在有些别的编码中也存在
2、 使用mysql_real_escape_string内置函数,使用时需注意
mysql_set_charset(‘gbk’, c o n n ) ; 3 、 在 m y

最低0.47元/天 解锁文章
小冉要开心
关注
专栏目录
sqlmap跑宽字节注入(渗透测试之SQL注入之宽字节注入)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-09 919
宽字节注入就是用一个大于128的十六进制数来吃掉转义符,gbk编码,字节作为一个字符的编码手工注入 一、什么是宽字节注入 字节是相对于ascII这样单字节而言的;像 GB2312、GBK、GB18030、BIG5、Shift_JIS 等这些都是常说的字节,实际上只有两字节。GBK 是一种多字符的编码,通常来说,一个 gbk 编码汉字,占用2个字节。一个 utf-8 编码的汉字,占用3个字节。 转义函数:为了过滤用户输入的一些数据,对特殊的字符加上反斜杠“\”进行转义; 宽字节注入指的是 mysql 数据
如何运用字节实现Sql注入?
MSB_WLAQ的博客
10-08 320
什么是魔术引号 了解一个PHP的防御函数==》magic_quotes_gpc(魔术引号开关) magic_quotes_gpc函数在php中的作用是判断解析用户提交的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。 单引号(’)、双引号(”)、反斜线(\)等字符都会被加上反斜线 magic_quotes_gpc的作用:当PHP的传参中有特殊字符就会再前面加转义字符'\',来做一定的过滤.
sql注入宽字节注入
最新发布
07-28
SQL注入和宽字节注入都是常见的安全漏洞类型。下面我将简要介绍这两种注入方式。 1. SQL注入: SQL注入是一种在应用程序中利用不正确处理用户输入的漏洞,攻击者可以通过在用户输入中插入恶意的SQL代码来执行非授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值