本文探讨了PHP中的宽字节注入问题,由于转义字符与GBK编码的结合,导致SQL注入的可能性。当输入如%df的字符,与函数添加的%5C合并后,MySQL识别为GBK编码的无效字符,引发安全风险。宽字节注入原理在于GBK占用两字节,而ASCII只占一字节,当PHP与MySQL使用不同字节编码时,可能导致注入攻击。
由于php中,转义函数的存在,导致在' 等字符前加转义字符\,即 \' 导致 ' 被转义,无法注入;
但通过输入%df和函数执行添加的%5C,被合并成%df%5C。由于GBK是两字节,这个%df%5C被MYSQL识别为GBK。导致本应的%df\变成%df%5C。%df%5C在GB
最低0.47元/天 解锁文章
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
