addslashes() Versus mysql_real_escape_string()

最新推荐文章于 2025-07-29 16:44:40 发布
转载 最新推荐文章于 2025-07-29 16:44:40 发布 · 282 阅读 · 0
文章标签:

#php #漏洞

本文展示了如何利用GBK编码特性绕过addslashes()函数进行SQL注入攻击,通过改变字符编码,使得单引号在数据库查询中成功注入,强调了使用mysql_real_escape_string()等更安全的方法的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Last month, I discussed Google's XSS Vulnerability and provided an example that demonstrates it. I was hoping to highlight why character encoding consistency is important, but apparently the addslashes() versus mysql_real_escape_string()debate continues. Demonstrating Google's XSS vulnerability is pretty easy. Demonstrating an SQL injection attack that is immune to addslashes() is a bit more involved, but still pretty straightforward.

In GBK0xbf27 is not a valid multi-byte character, but 0xbf5c is. Interpreted as single-byte characters, 0xbf27 is 0xbf (¿) followed by 0x27 ('), and 0xbf5c is 0xbf(¿) followed by 0x5c (\).

How does this help? If I want to attempt an SQL injection attack against a MySQL database, having single quotes escaped with a backslash is a bummer. If you're usingaddslashes(), however, I'm in luck. All I need to do is inject something like 0xbf27, and addslashes() modifies this to become 0xbf5c27, a valid multi-byte character followed by a single quote. In other words, I can successfully inject a single quote despite your escaping. That's because 0xbf5c is interpreted as a single character, not two. Oops, there goes the backslash.

I'm going to use MySQL 5.0 and PHP's mysqli extension for this demonstration. If you want to try this yourself, make sure you're using GBK. I just changed /etc/my.cnf, but that's because I'm testing locally:

TOGGLE CODE VIEW

  1. [client]
  2. default-character-set=GBK

Create a table called users:

TOGGLE CODE VIEW

  1. CREATE TABLE users (
  2. username VARCHAR(32) CHARACTER SET GBK,
  3. password VARCHAR(32) CHARACTER SET GBK,
  4. PRIMARY KEY (username)
  5. );

The following script mimics a situation where only addslashes() (ormagic_quotes_gpc) is used to escape the data being used in a query:

TOGGLE CODE VIEW

  1. <?php
  2.  
  3. $mysql= array();
  4.  
  5. $db=mysqli_init();
  6. $db->real_connect('localhost','myuser','mypass','mydb');
  7.  
  8. /* SQL Injection Example */
  9. $_POST['username'] = chr(0xbf) .
  10. chr(0x27) .
  11. ' OR username = username /*';
  12. $_POST['password'] = 'guess';
  13.  
  14. $mysql['username'] = addslashes($_POST['username']);
  15. $mysql['password'] = addslashes($_POST['password']);
  16.  
  17. $sql="SELECT *
  18. FROM users
  19. WHERE username = '{$mysql['username']}'
  20. AND password = '{$mysql['password']}'";
  21.  
  22. $result=$db->query($sql);
  23.  
  24. if ($result->num_rows) {
  25. /* Success */
  26. } else {
  27. /* Failure */
  28. }
  29.  
  30. ?>

Despite the use of addslashes(), I'm able to log in successfully without knowing a valid username or password. I can simply exploit the SQL injection vulnerability.

To avoid this type of vulnerability, use mysql_real_escape_string()prepared statements, or any of the major database abstraction libraries.

This type of attack is possible with any character encoding where there is a valid multi-byte character that ends in 0x5c, because addslashes() can be tricked into creating a valid multi-byte character instead of escaping the single quote that follows. UTF-8 does not fit this description.

PHP函数addslashesmysql_real_escape_string的区别
10-26
随着时间的推进,addslashes()被弃用,而mysql_real_escape_string()虽然更为强大,但使用预处理语句才是防范SQL注入的最佳做法。开发者在设计数据库交互的应用时,需要充分考虑这些安全措施,确保系统的健壮性和...
PHPaddslashesmysql_escape_string的区别分析
01-20
本文实例分析了PHPaddslashesmysql_escape_string的区别。分享给大家供大家参考,具体如下: 1.在插入数据时两者的意义基本一样.区别只在于addslashes 在magic_quotes_sybase=on时将“ ‘”转换成“ ‘ ‘” 在...
如何检测Sniffer
超然楼
07-21 1022
如何检测Sniffer 技术细节 L0pht 公司已经说明了,如下: Win9x/NT   正常情况下,就是说不在混乱模式,网卡检测是不是广播地址 要比较看收到的目的以太网址是否等于ff.ff.ff.ff.ff.ff 是则认为是广播地址。   在混乱模式时,网卡检测是不是广播地址只看收到包的目的以太 网址的第一个八位组值,是0xff则认为是广播地址。 利用这点细微差别就可以检测出Sniffer.
mysql 绕过addslashes_PHP字符编码绕过漏洞--addslashesmysql_real_escape漏洞
weixin_33978722的博客
02-18 375
漏洞最早2006年被国外用来讨论数据库字符集设为GBK时,0xbf27本身不是一个有效的GBK字符,但经过 addslashes() 转换后变为0xbf5c27,前面的0xbf5c是个有效的GBK字符,所以0xbf5c27会被当作一个字符0xbf5c和一个单引号来处理,结果漏洞就触发了。mysql_real_escape_string() 也存在相同的问题,只不过相比 addslashes() ...
mysql 多字节编码漏洞_PHP字符编码绕过漏洞--addslashesmysql_real_escape漏洞
weixin_39912580的博客
02-01 233
在上次活动开发过程中,有个程序写了下面这样的语句:$sName = $_GET['name'];$sName = addslashes($sName);$sql = "SELECT COUNT(lGid) AS total FROM tbRank WHERE `sName` LIKE '%$sName%';";var_dump($sql);exit();结果扫描工具一扫描,发现问题来了,被扫除了S...
PHP字符编码绕过漏洞--addslashesmysql_real_escape漏洞
weixin_33829657的博客
11-10 193
在上次活动开发过程中,有个程序写了下面这样的语句:[php]view plaincopy$sName = $_GET['name']; $sName = addslashes($sName); $sql = "SELECT COUNT(lGid) AS total FROM tbRank WHERE `sName` LIKE '%$sName%';"; var_dump($s...
PHP 运用addslashes() Versus mysql_real_escape_string() SQL防注入
weixin_30568591的博客
06-05 77
Last month, I discussed Google's XSS Vulnerability and provided an example that demonstrates it. I was hoping to highlight why character encoding consistency is important, but apparently the addslashe...
PHP+MYSQL网站SQL Injection攻防
weixin_30772105的博客
03-25 94
程序员们写代码的时候讲究TDD(测试驱动开发):在实现一个功能前,会先写一个测试用例,然后再编写代码使之运行通过。其实当黑客SQL Injection时,同样是一个TDD的过程:他们会先尝试着让程序报错,然后一点一点的修正参数内容,当程序再次运行成功之时,注入也就随之成功了。进攻:假设你的程序里有类似下面内容的脚本:$sql = "SELECT id, title, content FROM ar...
【ARTS】01_07_左耳听风-20181224~1230
17bdw的编程备份笔记
04-27 301
ARTS: Algrothm: leetcode算法题目 Review: 阅读并且点评一篇英文技术文章 Tip/Techni: 学习一个技术技巧 Share: 分享一篇有观点和思考的技术文章 Algorithm 【leetcode】Unique Morse Code Words https://leetcode.com/problems/unique-morse-code-words/ 1)p...
PHP+MySQL环境下SQL Injection攻防总结
桦少's blog
01-31 1144
程序员们写代码的时候讲究TDD(测试驱动开发):在实现一个功能前,会先写一个测试用例,然后再编写代码使之运行通过。其实当黑客SQL Injection时,同样是一个TDD的过程:他们会先尝试着让程序报错,然后一点一点的修正参数内容,当程序再次运行成功之时,注入也就随之成功了。 进攻: 假设你的程序里有类似下面内容的脚本: $sql = "SELECT id, title, con
PHP字符编码绕过漏洞总结
Yatere的天平秤
10-15 939
PHP字符编码绕过漏洞总结       其实这东西国内少数黑客早已知道,只不过没有共享公布而已。有些人是不愿共享,宁愿烂在地里,另外的一些则是用来牟利。 该漏洞最早2006年被国外用来讨论数据库字符集设为GBK时,0xbf27本身不是一个有效的GBK字符,但经过
php addslashesmysql_real_escape_string
12-17
与`addslashes()` 不同的是,`mysql_real_escape_string()` 是专为MySQL设计的,它会根据实际的数据库连接来应用适当的转义规则。 在使用`addslashes()` 时,需要注意`get_magic_quotes_gpc`配置。如果此配置开启,...
php mysql_real_escape_string addslashesmysql绑定参数防SQL注入攻击
10-20
php mysql_real_escape_stringaddslashes函数以及mysql绑定参数是PHP开发中常用的防止SQL注入攻击的三种主要方法。 mysql_real_escape_string函数是PHP中的一个函数,用于转义SQL语句中使用的字符串中的特殊字符...
Red靶机攻略
duanjiaxu6666的博客
07-27 1404
使用php伪协议访问:http://redrocks.win/NetworkFileManagerPHP.php?建立pass.txt文件,将之前配置文件那个密码放入,然后利用hashcat对应的base64规则去枚举相关的密码,存入passlist.txt中,格式是类似于之前获得的那个密码的,最好利用hydra进行爆破,获得对应的密码。
自定义定时任务功能详解
weixin_52673410的博客
07-26 942
• 灰度验证:新任务首次运行建议设置1分钟间隔,观察日志无误后再调整周期 • 异常处理:在代码中增加try-catch模块,防止单次失败导致任务中断 • 资源监控:通过php think timer status查看任务进程资源占用。• 系统任务:预置10种常用任务(如订单自动确认、优惠券过期提醒等),支持开关控制与周期调整 • 自定义任务:开发者可自由创建个性化任务,满足特殊业务需求。• 执行周期:支持秒/分/时/天/周/月/年七种粒度 示例:选择"每10秒执行" → 系统自动显示周期说明文字 •。
red靶场
m0_75212639的博客
07-27 481
状态码为500猜测这个页面可能存在漏洞,使用wfuzz测试一下参数,字典也用github上面提供的字典文件,路径换自己上传文件的地址。下载一下,导入到kali中 命令需要修改文件地址,变为你字典放到kali的位置。前面得出hashcat,将密码保存到pass.txt文件使用hashcat规则进行破解。经过查询,Mr. Miessler是github上的一个字典。先写一个pass.txt,将密码保存到当前路径,再执行命令。页面,进行访问,发现是一片空白,说明存在这个页面。
Android-广播详解
2401_87366139的博客
07-26 978
分类:标准广播是一个完全异步执行的广播,几乎同时的接收器会收到这个广播,效率比较高,无法截断;有序广播是同步执行,同一时刻只有一个接受器才能接受到消息,优先级高的接收器先接受到,同时也可以进行截断。
PHP】几种免费的通过IP获取IP所在地理位置的接口(部分免费部分收费)
最新发布
qq_25285531的博客
07-29 328
整理收集了几种通过IP地址获取所在地理位置的接口,部分免费,部分有次数限制。
下列选项中,属于SQL注入的内置过滤函数的是( ) A mysql_escape_string() B str_replace() C intval() D addslashes()
03-31
<think>好的,用户正在寻找SQL注入防护相关的内置过滤函数,特别是提到了mysql_escape_string、str_replace、intval、addslashes这几个函数。我需要根据提供的引用内容,整理出这些函数的使用方法和注意事项。 首先,我需要回顾每个引用中的相关信息。引用1提到mysql_real_escape_string必须在PHP4>=4.3.0和PHP5中使用,否则用mysql_escape_string,但两者有区别,前者考虑连接字符集。引用2指出,即使使用PDO的模拟预处理,如果PHP版本低且未指定charset,仍然可能有注入漏洞,建议升级PHP并设置charset。引用4展示了一个post_check函数,里面用到了addslashes、str_replace等函数,并处理了magic_quotes_gpc的情况。引用5给出了使用mysql_real_escape_string的示例。引用3提到了MySQL的报错函数,可能和注入攻击有关,但用户的问题是关于防护函数,所以这部分可能暂时不用。 接下来,我需要将每个函数的信息整理出来。mysql_real_escape_string需要考虑连接字符集,比mysql_escape_string更安全,但已弃用。addslashes用于转义特殊字符,但依赖于magic_quotes_gpc的设置,引用4中的函数处理了这个情况。str_replace用于过滤特定字符,如%和_。intval用于确保数值类型,防止注入。同时,PDO的参数绑定和预处理语句是更推荐的方法,如引用2提到的设置EMULATE_PREPARES为false,并指定charset。 需要注意的是,用户可能想知道这些函数的适用场景、限制以及最佳实践。比如,虽然某些函数可以过滤,但单独使用可能不够,需要组合其他方法。例如,引用4中的函数不仅用了addslashes,还处理了magic_quotes_gpc,替换了%和_,并进行HTML转义。这可能超出SQL注入的范围,但用户可能关心整体输入过滤。 另外,用户提到的函数中有mysql_escape_string,但根据引用1,这个函数已经过时,推荐使用mysql_real_escape_string,而后者在PHP7中也被移除,所以最终应该建议使用PDO或MySQLi的参数化查询。 可能还需要提到,过滤函数虽然有用,但参数化查询才是更根本的解决方案,因为过滤容易遗漏,而参数化能从根本上分离数据和指令。引用2中提到的PDO设置就是一个例子。 总结:需要分点列出每个函数的作用、注意事项,并强调参数化查询的重要性。同时,引用相关的内容来支持每个点,比如引用1和5关于mysql_real_escape_string,引用4关于addslashes和str_replace,引用2关于PDO的设置。</think>### SQL注入防护常用内置过滤函数及注意事项 #### 1. **`mysql_real_escape_string`** 用于转义字符串中的特殊字符(如单引号、双引号、反斜杠等),需基于当前数据库连接的字符集处理[^1]。 - **适用场景**:拼接SQL语句时对字符串参数进行转义。 - **注意事项**: - 仅在PHP 4.3.0+和PHP 5+版本可用,且需确保已建立数据库连接。 - PHP 7中已弃用,建议改用参数化查询(如PDO或MySQLi)。 示例: ```php $username = mysql_real_escape_string($_POST['username']); $sql = "SELECT * FROM users WHERE username='$username'"; ``` --- #### 2. **`addslashes`** 自动转义单引号、双引号、反斜杠和NULL字符,但依赖`magic_quotes_gpc`配置[^4]。 - **适用场景**:兼容旧代码时,需手动判断`magic_quotes_gpc`状态[^4]。 - **注意事项**: - 若`magic_quotes_gpc=On`,重复转义会导致数据错误。 - 无法防御多字节编码注入(如GBK宽字节漏洞)。 示例(结合`magic_quotes_gpc`判断): ```php if (!get_magic_quotes_gpc()) { $input = addslashes($input); } ``` --- #### 3. **`str_replace`** 用于过滤特定危险字符(如`%`、`_`),常用于模糊查询场景。 - **适用场景**:防止LIKE子句中的通配符滥用。 - **注意事项**: - 需手动定义需过滤的字符列表。 - 不能替代参数化查询或转义函数。 示例: ```php $input = str_replace(array("%", "_"), array("\%", "\_"), $input); ``` --- #### 4. **`intval`** 将变量强制转换为整数类型,用于处理数值型参数[^5]。 - **适用场景**:确保ID、年龄等参数为整数。 - **注意事项**: - 仅适用于纯数字输入,对字符串无效。 示例: ```php $id = intval($_GET['id']); $sql = "SELECT * FROM articles WHERE id=$id"; ``` --- #### 5. **`PDO参数化查询`**(推荐) 通过预处理语句分离数据与SQL指令,从根本上防御注入[^2]。 - **注意事项**: - 需设置`PDO::ATTR_EMULATE_PREPARES=false`并指定DSN字符集,避免模拟预处理漏洞。 示例: ```php $pdo = new PDO('mysql:host=localhost;dbname=test;charset=utf8', 'user', 'pass'); $stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email"); $stmt->execute(['email' => $email]); ``` --- ### 综合建议 1. **优先使用参数化查询**(PDO或MySQLi),避免手动拼接SQL[^2]。 2. 若必须拼接SQL,组合使用过滤函数(如`intval`+`mysql_real_escape_string`)并严格校验输入格式。 3. 升级到PHP 5.3.6+,并在DSN中指定字符集(如`charset=utf8`)。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值