现在的位置: 首页 > 软件开发 > 正文

GBK双字节编码致PHP单引号转义的SQL注入安全隐患

2011年09月15日 软件开发 ⁄ 共 836字 暂无评论 ⁄ 被围观 0+

GBK双字节编码致PHP单引号转义的SQL注入安全隐患

当php.ini中magic_quotes_gpc被设置为on时,提交的参数会被转义,例如,单引号会被转义成了'。一下子截断了字符型注入的路。

GBK双字节编码:一个汉字用两个字节表示,首字节对应0x81-0xFE,尾字节对应0x40-0xFE(除0x7F),刚好涵盖了对应的编码0x5C。

0xD5 0x5C 对应了汉字“誠”,于是 %d5%5c 经URL解码后为“誠”。

当我们提交参数 %d5' ,经浏览器URL编码后为%d5%27,再经PHP URL解码后为 0xd50x27,再经PHP转义后为0xd50x5c0x27,即就是在0x27(')之前插入了转义符0x5c(\)。当MySQL采用GBK编码连接时,0xd50x5c0x27 这一字节序列就被MySQL作为GBK编码理解:誠'。

这样就吃掉了PHP的转义符,从而突破了单引号转义的限制。

测试脚本如下:

<?php  
    $conn=0;  
    $conn = mysql_connect("localhost","root","opensoce");  
    if (!$conn)  
    {  
      die("不能打开数据库连接,错误: " . mysql_error());  
    }  
      
    // 选择数据库  
    mysql_select_db("test", $conn);  
      
    // 设置mysql数据库输出数据的字符集  
    mysql_query("set names 'gbk'");  
      
    $sql="select * from  news where content like '%".$_REQUEST['k']."%'";  
    echo "当前sql语句:".$sql."<br/><br/>";  
      
    $result=mysql_query($sql,$conn);  
      
    if(!$result)  
      echo mysql_error();  
      
    while($result && $row=mysql_fetch_array($result))  
    {  
       echo "$row[title]<br/>";  
    }  
?>

给我留言

您必须 [ 登录 ] 才能发表留言!

×
#