mysql字符编码 seebug_mysql字符编码相关

最新推荐文章于 2023-09-28 13:44:58 发布
最新推荐文章于 2023-09-28 13:44:58 发布
阅读量87 收藏
点赞数
文章标签: mysql字符编码 seebug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30698721/article/details/113607252
版权

mysql> show variables like '%character%';+--------------------------+----------------------------------------+

| Variable_name | Value |

+--------------------------+----------------------------------------+

| character_set_client | gbk |

| character_set_connection | gbk |

| character_set_database | latin1 |

| character_set_filesystem | binary |

| character_set_results | gbk |

| character_set_server | latin1 |

| character_set_system | utf8 |

| character_sets_dir | /usr/local/mysql/share/mysql/charsets/ |

+--------------------------+----------------------------------------+

8 rows in set (0.01 sec)

上面是mysql中与字符相关的几个设置参数,他们的含义如下:

character_set_client 客户端编码(mysql客户端,php代码,mysql客户端软件等)

character_set_connection 链接编码

character_set_database 当前选中数据库的编码

character_set_filesystem 文件系统编码

character_set_results 返回给客户端的结果编码

character_set_server 缺省操作编码(主要用在创建库时如果没有指定编码,新建的库就用该编码)

character_set_system 元数据编码(在客户命令行下输入的字符串的编码)

character_sets_dir 编码目录

我们经常使用的set names gbk命令是同时设置了character_set_client、character_set_connection和character_set_results。

而且set names gbk在php中会产生sql注入漏洞,这是因为gbk是双字节字符,举个例子:

$q = addslashes($_GET['q']);$sql = "select * from table where q='$q'";echo $sql;

这是php代码,接参数,转移,看似没问题。然后我们请求:

http://127.0.0.1/index.php?q=%f5%27%20or%201=1%23

页面打印出的sql为:

select * from table where q='鮘' or 1=1#'

这是因为转移符\为%5c与%f5结合以后成为%f5%5c正好是gbk编码下的鮘。

解决方法是把set names gbk换成SET character_set_connection='gbk',character_set_results='gbk',character_set_client='binary',使用二进制传递字符串。

竞核
关注
mysql字符编码 seebug_Mysql字符编码利用技巧
weixin_33252423的博客
01-18 170
0x01 由某CTF题解说起小密圈里有人提出的问题,大概代码如下:看了一下,明显考点是这几行:if ($username === 'admin') {if ($_SERVER['REMOTE_ADDR'] !== '127.0.0.1') {die('Permission denied!');}}$result = $mysqli->query("SELECT * FROM z_users ...
metinfo mysql_Metinfo 5.3.17 前台SQL注入漏洞
weixin_29178069的博客
02-01 494
Metinfo 8月1日升级了版本,修复了一个影响小于等于5.3.17版本(几乎可以追溯到所有5.x版本)的SQL注入漏洞。这个SQL注入漏洞不受软WAF影响,可以直接获取数据,影响较广。### 0x01. 漏洞原理分析漏洞出现在 `/include/global.func.php` 文件的 `jump_pseudo` 函数:```/*静态页面跳转*/function jump_pseudo(){...
MySQL字符串和编码
hulunberbus
10-30 79
1、UTF-8和UTF8有区别,在mysql_query中使用utf-8可能会导致phpmyadmin显示乱码 2、utf8_general_ci和utf8-unicode_ci有区别,前者效率更高,但后者比较规则更完备,一般使用前者 3、在PHP中UTF-8中文字符长度为3个字符,GBK长度为2个字符,可使用如下代码测试: <?phpheader(‘Content-Type:text/ht...
mysql 字符编码查询
phzy20131004的博客
04-27 3452
mysql 编码集设置
mysql编码问题
iteye_17307的博客
08-21 501
MySQL的默认编码是Latin1,不支持中文,要支持中午需要把数据库的默认编码修改为gbk或者utf8。 1、需要以root用户身份登陆才可以查看数据库编码方式(以root用户身份登陆的命令为:>mysql -u root –p,之后两次输入root用户的密码),查看数据库的编码方式命令为: >show variables like 'character%'; +-----------...
mysql字符编码 seebug_MySQL字符编码
weixin_42107165的博客
01-18 122
-- 创建数据库时,设置数据库的编码方式-- CHARACTER SET:指定数据库采用的字符集,utf8不能写成utf-8-- COLLATE:指定数据库字符集的排序规则,utf8的默认排序规则为utf8_general_ci(通过show character set查看)drop database if EXISTS dbtest;create database dbtest CHARACTE...
mysql字符编码 seebug_MySql注入总结
weixin_28675661的博客
01-20 218
本文总结了MySql注入的一些基础知识以及绕过过滤的一些方法,并且将在后续继续完善该文章,后面会添加一些具体实例的文章,希望能够帮到大家。0x00 基础知识:手工注入一般思路:1.爬取所有有参数输入的URL,表单,搜索框2.对于多参数的需要先确定哪个参数好注入3.如有WAF,先测出哪些没有被ban,可以将关键字导入burp跑,根据返回长度及内容进行判断4.结合各种注入技巧,选择比较容易获取数据的...
mysql字符编码 seebug_代码审计之YOUKE365
weixin_35835184的博客
02-02 295
本文由红日安全成员: licong 编写,如有不当,还望斧正。前言优客365网站分类导航系统是个跨平台的开源软件,基于PHP+MYSQL开发构建的开源网站分类目录管理系统,具有操作简单、功能强大、稳定性好、扩展性及安全性强、二次开发及后期维护方便,可以帮您迅速、轻松地构建起一个强大、专业的分类目录或网址导航网站。目录结构│ .htaccess│ AdminYouke365.php ...
mysql字符编码 seebug_从WordPress SQLi谈PHP格式化字符串问题
weixin_33664951的博客
02-02 204
作者:SeaFood@知道创宇404实验室0x00 背景近日,WordPress爆出了一个SQLi漏洞,漏洞发生在WP的后台上传图片的位置,通过修改图片在数据库中的参数,以及利用php的sprintf函数的特性,在删除图片时,导致'单引号的逃逸。漏洞利用较为困难,但思路非常值得学习。0x01 漏洞分析漏洞发生在wp-admin/upload.php的157行,进入删除功能,之后进入函数wp_del...
mysql字符编码 seebug_hive日常报错之 serious problem serious problem,block 丢失
weixin_39980809的博客
02-02 180
https://community.hortonworks.com/questions/71589/after-upgrading-to-hdp-253-using-beeline-with-a-si.html报错如下参考链接如上感觉是orc的文件优化导致的这个错误解决办法是set hive.exec.orc.split.strategy=BI;加上这么一个参数即可Vertex faile...
CSS-T | Mysql Client 任意文件读取攻击链拓展
晓得哥的博客
01-15 633
作者:LoRexxar@知道创宇404实验室 & Dawu@知道创宇404实验室 原文地址:https://paper.seebug.org/1112/#_6 英文版本:https://paper.seebug.org/1113/ 这应该是一个很早以前就爆出来的漏洞,而我见到的时候是在TCTF2018 final线下赛的比赛中,是被 Dragon Sector 和 Cykor 用来非预期h...
JDBC MySQL任意文件读取分析
stopys6的博客
09-22 449
文章首发于知识星球-赛博回忆录。给主管打个广告,嘿嘿。在渗透测试中,有些发起mysql测试流程(或者说mysql探针)的地方,可能会存在漏洞。在连接测试的时候通过添加allowLoadLocalInfileInPath,allowLoadLocalInfile,allowUrlInLocalInfile与伪造的服务器进行通信,造成任意文件读取。完整payload:test?以下是可以利用该漏洞的一些场景。
JDBC MySQL任意文件读取分析1
stopluox的博客
09-22 131
文章首发于知识星球-赛博回忆录。给主管打个广告,嘿嘿。在渗透测试中,有些发起mysql测试流程(或者说mysql探针)的地方,可能会存在漏洞。在连接测试的时候通过添加allowLoadLocalInfileInPath,allowLoadLocalInfile,allowUrlInLocalInfile与伪造的服务器进行通信,造成任意文件读取。完整payload:test?以下是可以利用该漏洞的一些场景。
关于对JDBC MySQL任意文件读取分析
woshiyanfu的博客
09-28 112
文章首发于知识星球-赛博回忆录。给主管打个广告,嘿嘿。在渗透测试中,有些发起mysql测试流程(或者说mysql探针)的地方,可能会存在漏洞。在连接测试的时候通过添加allowLoadLocalInfileInPath,allowLoadLocalInfile,allowUrlInLocalInfile与伪造的服务器进行通信,造成任意文件读取。完整payload:test?以下是可以利用该漏洞的一些场景。
rhino grasshoper平面线生造型.gh
最新发布
10-18
【rhino@grasshoper 平面线生造型】https://www.bilibili.com/video/BV1kbpZeUE6d?vd_source=b420114c993138474d2e93d83ead77a5
Webapp_rimw_ebapp协助投资者评估A股上市公司.zip
10-18
Webapp_rimw_ebapp协助投资者评估A股上市公司
Linux笔记1111
10-18
Linux笔记1111
CentOS批量自动化修改服务器等保基线操作脚本
10-18
本脚本旨在为系统管理员提供一种高效便捷的工具,用于在CentOS服务器上批量自动化修改并配置符合等级保护(等保)要求的系统基线。等保基线是中国网络安全法规中的一部分,要求企业或组织的IT基础设施遵循一系列安全标准。本脚本主要面向需管理大量服务器的环境,尤其是数据中心、企业内部网络、云平台等场景。 脚本的功能覆盖多个等保项目中的关键安全项配置,包括但不限于以下内容: 密码策略配置:设置密码复杂度要求、密码过期时间、登录失败锁定机制等,以确保密码的安全性。 SSH安全设置:包括禁用root远程登录、更改默认端口、启用密钥认证等,减少被暴力破解或未经授权访问的风险。 系统日志审计:配置审计日志的保存策略和周期,确保对系统操作行为进行详细记录,便于日后追踪和分析。审计日志的保留和分析对于等保要求中的安全事件响应至关重要。 4. 端口访问控制:通过自动化调整iptables或firewalld规则,限制不必要的端口暴露,确保服务器只开放所需的最小化服务端口,减少攻击面。 5. 文件权限调整:对系统中的关键文件(如/etc/passwd、/etc/shadow等)进行权限审查和修正,防止敏感数
实时监控CVE漏洞并推送的Seebug系统开发
该系统结合了Seebug平台和Apache Struts框架,专注于对Struts相关的安全漏洞进行监控,并及时向用户推送相关的安全警报和更新信息。 1. CVE漏洞信息:CVE是一个公开的漏洞和缺陷的标准化列表,旨在让安全社区、用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值