最近做sqli-labs的一点发现,有的关卡sqli_real_escape_string( )可以有效过滤输入,而有些形同虚设,puzzle,巨大的费解,疑问挟裹我,不可以再蠢蠢闷头写题了!需要速速解决!
addslash()
是一个比较单纯的函数,没有什么依赖关系,可以直接快乐使用,一般的用法是:
$username = addslash("$_POST['username']")
$password = addslash("$_POST['password']")
作用是在
'
"
\
NULL
前面加一个 \ 进行一个转义
需要注意的情况是,如果 php.ini 开启了get_magic_quotes_runtime,PHP是会自动对 GET POST COOKIE 内容进行 addslash( ) 的,可以用get_magic_quotes_gpc( ) 检测,注意不要重复转义了。
P·S:在 addslash( ) 的情况下可以直接进行宽字节注入,利用的是 gbk 的编码特点。
\ = 0x5C,只要支持双字节及以上 && 最后一个字节取值范围包括0x5C都可在单纯的addslash()环境下进行宽字节注入。
SET NAME
SET NAME通常是一名被包括在 mysql_query( ) 中的变量,在连接数据库的 mysql_connect( ) 后,作用是将 :
- character_set_client
- character_set_connection
- character_ser_results
三个内容一并设置成 SET NAME 后接的编码形式
SQL编码形式:
mysql> show character set
//查看SQL支持的所有编码形式
mysql>show variables like 'character%'
/*查看当前设置
这些内容:
| character_set_client | gbk |
| character_set_connection | gbk |
| character_set_database | latin1 |
| character_set_filesystem | binary |
| character_set_results | gbk |
| character_set_server | latin1 |
| character_set_system | utf8 |
*/
SQL语句沉浮录
当sql_query("SET NAME XXX") 之后,就可以开始操作正经的 sql 查询了。港港一个查询语句的流程)
e.g:($sql=insert into tb_name values('1','猞猁')) && client=gbk && connection=result=utf-8
加粗字体是每个过程所得出来的结果;
insert的情况:
- Client 发送 sql(default UTF-8) -> Server;
(1,e78c9ee78c81)- Server 根据 (character_set_client)解码;
(1,"鐚炵寔")- Server 将数据放进 DB 前,根据(character_set_connection)康康是否需要把数据编码// if(character_set_client==character_set_connection || 都是ASCII可描述) 不用转码 else 按照connection 编码
(1,"e9909ae782b5e5af94")- 将第三条的结果存入数据库
查询数据库的情况:
- Client --query--> Server;
- Server 根据 (character_set_results) 解码,将数据显示出来;
(1,"鐚炵寔")
以上就是数据在存入和取出过程中所要经历的转码
sqli_real_escape_string() && set_charset( )
SQL在用户和服务器中的编码和解码,设计 Client 、Connection、Result 三个环节。sqli_real_escape_string( ) 与 addslash( ) 相比,优化体现在前者添加了连接状态这个限制。
不过如果是使用 SET NAME,不论是和addslash()还是real_escape_string()搭配都不能对宽字节产生防范。
必须要用 set_charset 才可以!
原因在于set_charset()不仅干了 SET NAME的活,还做了这件事:
mysql -> charset = cs;
而 real_escape_string() 的字符集来源就是 mysql->charset ,这就是为什么有时 real_escaping_string 有用而有时没用的原因。
- 通过 mysqli_set_charset( xxx) 设置 Client 与 DB 通信所用的编码方式
- 再对传入的语句进行 real_escape_string(sql,con)
这样就可以防范宽字节注入了。