SQL注入编码相关小知识科普(一)

前言

SQL注入是老生常谈的问题了,漏洞成因简单明了,入门安全的一般都是先从SQL注入学起。看到网上各个面试经验都提到经常会被问到SQL注入绕过相关的知识,可以见得SQL注入在安全界的地位。因为是科普所以不想写太长篇幅,而且网上已有很多很多很多的SQL注入的相关介绍。本篇仅仅抛个砖,记录一下和编码相关的一些相关知识。

编码在SQL注入中的作用

随着程序员安全意识的不断提高,也逐渐意识到了对单引号进行限制可以抵挡一部分的SQL注入攻击,之所以说一部分是像数字型注入以及一些编码方式依旧可以成功注入,而宽字节则是其中的典型,也是面试常被问起的点。

宽字节注入原理解析

"简单聊聊宽字节注入吧?"
自信回答:“在GBK编码下当单引号被转义后,可以在前面加上%df使得转义符\被吃掉,以至于单引号可以逃出转义。”
"那么除了GBK编码,还有哪些编码会出现宽字节问题?"
靓仔语塞。。。
为了避免上述面试尴尬场景的出现,于是梳理梳理宽字节原理。个人理解宽字节是一类编码,是具有高位和低位组成的编码。凡编码都有一个编码范围,比如Ascii码的范围0-127GBK的范围0x8140~0xFEFE
GBK作为双字节编码,则高位的范围为0x81-0xFE,低位的范围为0x40-0xFE

前置知识已经铺垫好了,以一个例子来看。

<?php
$name=$_GET['name'];
$name=addslashes($name);
$conn = mysqli_connect('localhost', 'root', 'root', 'user');//连接MySQL服务
if (!$conn) {
    die('Could not connect to MySQL: ' . mysqli_connect_error()); 
} 
$conn->set_charset("GBK");
@mysql_select_db("test",$conn);
$sql="select * from user where username='".$name."'";
$result=mysqli_query($conn,$sql);
@$row = mysqli_fetch_assoc($result);
echo "Your password is:".$row['password']."</br>";

 ?>

set_charset("GBK")的作用是设置数据库的编码方式为GBK。这种设置方式是不安全的,一会再提。

image.png

zhhhya%df%27%20or%201=1%20%23 这串值是url编码之后的结果,而URL编码实际上是字符的ascii码的十六进制再加上%作为前缀。
所以这串值在程序的眼里是长这样的:

zhhhya0xdf0x270x20or0x201=10x200x23
由于经过addslashes($name)的转义,所以值应该变成如下,其中0x5C 对应 \
zhhhya 0xdf0x5c 0x270x20or0x201=10x200x23

而此时程序判断出0xdf0x5cGBK编码的范围之内(0x8140~0xFEFE),所以可以解码出有意义的字符,从而导致了转义符\被吃掉。
从上述流程来看,构成宽字节注入的前提程序要用宽字节的编码,以及低位的编码范围包含了%5C。宽字节的编码有这些GB2312、GBK、GB18030、BIG5、Shift_JIS

修补方案

那如何修补呢?
上文中代码使用了mysql_query(“set names gbk”)是不安全的设置方式,而在mysql中是推荐mysql_set_charset(“gbk”);函数来进行编码设置的,这两个函数大致的功能相似,唯一不同之处是后者会修改mysql对象中的mysql->charset属性为设置的字符集。
并且使用过滤函数mysql_real_escape_string(),具有相同过滤功能的函数还有mysql_real_escape_string() magic_quote_gpc=On addslashes() mysql_escape_string()功能类似,他们之间的区别就是mysql_real_escape_string()会根据mysql对象中的mysql->charset属性来对待传入的字符串,因此可以根据当前字符集来进行过滤。

<?php
$name=$_GET['name'];
$conn = mysqli_connect('localhost', 'root', 'root', 'user');//连接MySQL服务
if (!$conn) {
    die('Could not connect to MySQL: ' . mysqli_connect_error()); 
}
mysqli_set_charset($conn,"gbk"); 
$name=mysqli_real_escape_string($conn,$name);
@mysqli_select_db("user",$conn);
$sql="select * from user where username='".$name."'";
echo $sql."<br>";
$result=mysqli_query($conn,$sql);
@$row = mysqli_fetch_assoc($result);
echo "Your password is:".$row['password']."</br>";

 ?>
image.png

值得一提的是要先设置字符串编码,再进行转义,顺序反了也无法成功防御。而且两条语句都要写,单独使用任意一条都无法防御。在新开发一款产品的时候可以在编码时候就考虑安全防御的,可大多数都是维护已有的产品,很多都还是以addslashes()的方式转义。那如何修补?P神博客对宽字节和编码问题进行了很深入的讨论此处就不再过多黏贴复制。其中的一个防御方式就是,以二进制的方式传输数据。

SET character_set_connection=gbk, character_set_results=gbk,character_set_client=binary

待续

没想到写着写着感觉又过于细致了,科普系列不想把篇幅写的过长。于是拆分成一、二两篇。下一篇讲一讲我所知道iconv函数引起的编码问题。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,311评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,339评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,671评论 0 342
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,252评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,253评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,031评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,340评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,973评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,466评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,937评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,039评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,701评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,254评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,259评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,485评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,497评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,786评论 2 345

推荐阅读更多精彩内容