利用GBK双字节编码突破PHP单引号转义限制进行SQL注入

来源：互联网发布：厨房装修风格软件编辑：程序博客网时间：2024/05/17 00:52

今天看了黑防2009精华本下册《双字节编码：PHP的隐形杀手》一文，深受启发。

当php.ini中magic_quotes_gpc被设置为on时，提交的参数会被转义，例如，单引号会被转义成了'。一下子截断了字符型注入的路。

GBK双字节编码：一个汉字用两个字节表示，首字节对应0x81-0xFE，尾字节对应0x40-0xFE（除0x7F），刚好涵盖了对应的编码0x5C。

0xD5 0x5C 对应了汉字“誠”，于是 %d5%5c 经URL解码后为“誠”。

当我们提交参数 %d5' ，经浏览器URL编码后为%d5%27，再经PHP URL解码后为 0xd50x27，再经PHP转义后为0xd50x5c0x27，即就是在0x27(')之前插入了转义符0x5c（\）。当MySQL采用GBK编码连接时，0xd50x5c0x27 这一字节序列就被MySQL作为GBK编码理解：誠'。

这样就吃掉了PHP的转义符，从而突破了单引号转义的限制。

本地测试如下：

测试脚本index.php如下：

    <?php      $conn=0;      $conn = mysql_connect("localhost","root","see2006");      if (!$conn)      {        die("不能打开数据库连接，错误: " . mysql_error());      }            // 选择数据库      mysql_select_db("test", $conn);            // 设置mysql数据库输出数据的字符集      mysql_query("set names 'gbk'");            $sql="select * from  news where content like '%".$_REQUEST['k']."%'";      echo "当前sql语句:".$sql."<br/><br/>";            $result=mysql_query($sql,$conn);            if(!$result)        echo mysql_error();            while($result && $row=mysql_fetch_array($result))      {         echo "$row[title]<br/>";      }      ?>