一、单字节SQL注入
mysql的SQL注入已经由来已久,以下是普遍采用的注入步骤:
1、在GET参数上加一个/*或者#(mysql专有的注释),判断数据库是否是mysql,比如:
https://www.xxx.com.cn/article.php?id=1607 and 1=1/*
2、猜解某表的字段数,从order by 1一直更改到页面出错为止,就可以得到该表的字段数
注入URL:https://www.xxx.com.cn/article.php?id=1607 or 1=1 order by 10#
对应的SQL: select * from articles where id=1607 or 1=1 order by 10#….
3、使用该表和用户表进行关联查询,在文章列表里就可以看到用户名和密码了。当也要猜解用户表的表名和用户名、密码的字段名,比如上一步得到的字段数是5:
注入的URL:https://www.xxx.com.cn/article.php?id=1607 or 1=1 union select username,password,1,2,3 from user
对应的SQL: select * from articles where id=1607 or 1=1 union select username,password,1,2,3 from user
这样就可以在界面上看到用户名和密码了。
解决方法:
过滤数据:这并不是罗唆。在合适的地方使用良好的数据过滤,可以减小多数安全隐患,甚至可以消除其中的一部分。
将数据用括号包含:如果你的数据库允许(MySQL 允许),在 SQL 语句中,不论什么类型的数据都用单引号包含起来。
转义数据:一些合法的数据可能在无意中破坏 SQL 语句本身的格式。使用 mysql_escape_string() 或者所使用数据库提供的转移函数。如果没有提供这样的函数,addslashes() 也是不错的最后选择。
二、宽字节注入
宽字节注入也是在最近的项目中发现的问题,大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在 %df\’ = %df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MYSQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗’,也就是说:%df\’ = %df%5c%27=縗’,有了单引号就好注入了。比如:
以下为引用的内容: $conn = mysql_connect("localhost","root","2sdfxedd"); |
则通过以下注入即可:
https://www.xxx.com/login.php?user=%df’%20or%201=1%20limit%201,1%23&pass=
对应的SQL是:
select * from cms_user where username = ‘運’ or 1=1 limit 1,1#’ and password="
解决方法:就是在初始化连接和字符集之后,使用SET character_set_client=binary来设定客户端的字符集是二进制的。如:
以下为引用的内容: mysql_query("SET character_set_client=binary"); |
关键词标签:MySQL,SQL
相关阅读
热门文章 10款MySQL数据库客户端图形界面管理工具推荐MySQL常用维护管理工具Linux VPS/服务器上轻松导入、导出MySQL数据MySQL复制的概述、安装、故障、技巧、工具
人气排行 MySQL数据库启动失败1067进程意外终止的解决办法总结Mysql 1045错误解决办法10款MySQL数据库客户端图形界面管理工具推荐MySQL服务器进程CPU占用100%解决办法MySQL导出导入命令的用例MySQL无法启动、无法停止各种解决方法总结三种常用的MySQL建表语句Mysql清空表的实现方法
查看所有0条评论>>