mysql 字符串超长截取_超长字符串截断注入

最新推荐文章于 2024-12-06 20:44:06 发布

齐露露

最新推荐文章于 2024-12-06 20:44:06 发布

阅读量1.3k

点赞数

本文链接：https://blog.csdn.net/weixin_36453829/article/details/113889145

版权

mysql 字符串超长截取

该注入方法也是昨天看到某技术交流群聊到，闻所未闻便想要学习了，今天看某微信公众号的时候又再次看到关于”长字符串截断注入“的文章.

但是经过一番了解，其实这个注入姿势很难找到了，因为它需要满足以下条件。

1.可以注册用户，而且可以注册带有空格的用户

2.你需要知道管理员的账号

看下面CODE

mysql> create tabletest(-> id int,-> username varchar(20),-> password varchar(30)->);

Query OK,0 rows affected (0.31sec)

mysql> insert into test(id,username,password) values(1,"admin hello ","aaaaaaaa");

Query OK,1 row affected, 1 warning (0.12sec)

mysql> select id,username,password fromtest;+------+----------------------+----------+

| id | username | password |

+------+----------------------+----------+

| 1 | admin | aaaaaaaa |

+------+----------------------+----------+

1 row in set (0.02 sec)

username的最大长度是20.可是我插入的明显超过20，而在使用select查询的时候，username超过的部分被截取掉了。

倘若现在有一个sql语句，它可以是完完全全的没有注入，但是如果允许空字符注册的话，那么就会导致我们今天的这个“长字符串截断注入”

select id,username,password from users where username = 'admin';

假设管理员的账号就是admin，那么我们就去注册一个admin 的用户.(PS:后面有哦很多空格哦，等待被截取掉就直接替换掉admin这个账号了)危害还是很大的。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

齐露露

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

mysql 字符串截取

xieqiuyuelx的博客

03-04

4918

left()、right()、substring()、substring_index() 一、left()从左开始截取字符串 用法：left(str,len) ; str 要截取的字符串， len截取长度例：SELECT LEFT("www.baidu.com",3) 结果：www 二、right()从右开始截取字符串 用法：right(str,len) ; str 要截取的字符串， len截取长度例：SELECT RIGHT("www.baidu.com",3) 结果为：com 三

mysql字符串文本存入数据库_mysql字符串类型数据

weixin_31244053的博客

02-02

1593

字符串类型是在数据库中存储字符串的数据类型，字符串类型包括char，varchar，text，enum和set。OK，我们来一个一个的看下上面提到的几种类型。char类型和varchar类型char类型和varchar类型都是在创建表时指定了最大长度，其基本形式如下：字符串类型(M)。其中，字符串类型参数指定了数据类型是char类型还是varchar类型，M参数指定了该字符串的最大长度为M。举个例...

参与评论您还未登录，请先登录后发表或查看评论

MySql超长自动截断实例详解

09-09

主要介绍了MySql超长自动截断实例详解的相关资料,这里通过实例来说明如何实现自动截断的功能，需要的朋友可以参考下

MySQL 表字段太多超长问题及解决方案

最新发布

java1024p的博客

12-06

516

在 MySQL 中，表字段超长问题通常是由于字段数量过多或字段定义过长引起的。在设计数据库时，了解 MySQL 对于字段数量和行大小的限制是至关重要的。通过合理设计字段类型、拆分表结构、使用合适的数据存储方式，可以有效解决字段超长问题，确保数据库的性能和可维护性。最佳实践合理定义字段类型，避免使用过于冗长的字段定义。拆分过于复杂的表，减少单表的字段数量。使用JSON或XML字段存储动态数据。归档历史数据，减少主表的数据量。通过这些优化措施，可以避免表字段过长的问题，并提升数据库系统的整体性能。

利用mysql对特殊字符和超长字符会进行截断的特性进行存储型XSS攻击——WordPress <4.1.2 & <=4.2 存储型xss...

weixin_34144848的博客

07-31

386

转自：Baidu Security Lab Xteam http://xteam.baidu.com/?p=177 漏洞概述本次漏洞出现两个使用不同方式截断来实现的存储型xss，一种为特殊字符截断，一种为数据库字段长度截断，该漏洞导致攻击者可获取用户 cookie以及模拟浏览器正常操作，并且当管理员访问到注入的payload时，结合wordpress后台功能甚至可以getshell。 ...

MYSQL长字符截断

weixin_50464560的博客

03-03

1432

本人freebuf文章：https://www.freebuf.com/vuls/264586.html MYSQL长字符截断即使没有任何注入漏洞，攻击者也可能登录到后台管理页面 1、相关资料 2、sql-mode的各项设置 MySQL5.0以上版本支持三种sql_mode模式：ANSI、TRADITIONAL和STRICT_TRANS_TABLES。 1、ANSI模式：宽松模式，更改语法和行为，使其更符合标准SQL。对插入数据进行校验，如果不符合定义类型或长度，对数据类型调整或截断保存，报warni

莫名奇妙的异常011：mysql超过字段长度值自动截断

杨友山

12-25

922

sql-mode中有STRICT_TRANS_TABLES是在数据超长的情况下会插入失败，当删除这个限制时，插入超长会MySQL会自动截断超长的字段。

截断太长的字符串

weixin_33713707的博客

12-23

448

方法1：在后台处理： // 截取指定长度的字符串 public static string GetContent(string content,int length) { if (string.IsNullOrEmpty(content)) { return ""; } else { if (con...

mysql常用字符串函数、字符串处理函数大全

02-20

MySQL字符串函数是数据库操作中非常关键的一部分，它们用于处理和操作文本数据。以下是一些常见的MySQL字符串函数及其详细解释： 1. `ASCII(str)`：这个函数返回字符串`str`的第一个字符的ASCII码值。如果`str`为空...

mysql数据被截断_Mysql5.7中使用groupconcat函数数据被截断的问题完美解决方法

weixin_29194693的博客

02-02

1292

前天在生产环境中遇到一个问题：使用 GROUP_CONCAT函数select出来的数据被截断了，最长长度不超过1024字节，开始还以为是navicat客户端自身对字段长度做了限制的问题。后面故意重新INSERT了一个字段长度超1024字节的数据，但是navicat能完整展示出来，所以就排除了navicat的问题。然后想到1024这个熟悉的数字，会不会是C++框架在接收MySQL通过socket传输...

SQL基础-03-字符串截取和拼接（SUBSTRING/CONCAT）

qq_35487917的博客

03-09

2658

环境：MySQL 5.6.33 下文示例中用到的表如下： 1、字符串截取：SUBSTRING() 语法：SUBSTRING(col, pos, len) col：待截取的字段，字符类型； pos：截取的起点，INT类型； len：截取的长度，INT类型示例：截取 birthday 字段中的年份，生成字段 sub_year，代码如下： SELECT name, country, SUBSTRING(birthday, 1, 4) AS sub_year FROM tom_jerry

一项被忽视的注入技术（过滤不严，长字符串截断注入）

博客园: https://www.cnblogs.com/fger/

04-04

2002

在现如今注入技术一直被视为安全技术人员的必学技术，无论是注入还是盲注还是宽字节注入等各种注入技术都是如今非常流行的。但是在这么多的注入手法当中，有一种注入是被忽视的甚至有很多人不知道这种注入技术。那就是——超长字符串截断注入。注入的产生是由于过滤不严导致的，而利用则是由用户提交特殊的字符来进行利用的。而长字符串截断注入则是利用数据库的错误产生的也就是说我们在整个过程中可以不输入任何敏感

MySQL长字符截断

cyynid的博客

02-28

1265

在MySQL中的一个设置里有一个sql_mode选项，当sql_mode设置为default时，即没有开启STRICT_ALL_TABLES选项时（MySQLsql_mode默认即default），MySQL对插入超长的值只会提示warning，而不是error，这样就可能会导致一些截断问题。可以发现，第二条与第三条数据的长度为7，也就是列的规定长度，由此可知，在默认情况下，如果数据超出列默认长度，MySQL会将其截断。③插入错误的SQL语句，长度已经超过原有的规定长度。①插入正常的SQL语句。

mysql varchar 截断_MySQL太长的varchar截断/错误设置

weixin_33835558的博客

01-19

234

I have two MySQL instances. The 1st one truncates strings on insert when data is too long. The 2nd one raises an error:ERROR 1406 (22001): Data too long for column 'xxx' at row 1I want the 2nd one to ...

mysql字符串类型截断测试

敖尔其楞的专栏

09-27

655

create table test(name varchar(5)); insert into test values('bai'),('bai '); mysql> select length(name) from test; +--------------+ | length(name) | +--------------+ | 3 | | 4 | +

插入数据库截取字节长度

davidmeng6628的专栏

03-08

1302

背景：oracle数据库。储存编码UTF-8.需求：如果字段超出数据库字段长度，那么截取字符串后储存到数据库中。字段长 4000最开始计划直接使用java String.subString，然后一想，好像不对，汉字长大概是占3个字节。如果有汉字的话，肯定超长了。然后就找了找有没有工具类可以直接截取数据库长度的方法，没有找到。只能自己写了。网上找了找UTF8相关文章，发现UTF8规则如下。 ...

mysql 自动超长截取_默认的sql_mode,即使值的长度超过字段的定义，也能截断数据插入...

weixin_30140093的博客

02-18

1088

******************************************************MySQL 的第三个坑***************************************************************默认模式，是非严格模式，插入的字段比定义的字段长会自动截取，也不报错，产生数据混乱。root@test 09:13:09>select @...

MySQL数据库字段超长问题