关于utf-8编码规范练习题

目录

一、代码内容

二、MySQL内容

三、代码遇到的问题

遭遇:

解决思路:

四、出现问题1

断点调试,分析问题

发现问题点:

问题解决

五、出现问题2

原因:

举例:

举例总结:


一、代码内容

二、MySQL内容

创建table1表并插入数据

sql 复制代码
mysql> use security

mysql> create table table1(id int(10) primary key auto_increment,username varchar(50) not null,password varchar(50) not null);

mysql> desc table1;
+----------+-------------+------+-----+---------+----------------+
| Field    | Type        | Null | Key | Default | Extra          |
+----------+-------------+------+-----+---------+----------------+
| id       | int(10)     | NO   | PRI | NULL    | auto_increment |
| username | varchar(50) | NO   |     | NULL    |                |
| password | varchar(50) | NO   |     | NULL    |                |
+----------+-------------+------+-----+---------+----------------+

mysql> insert into table1(id,username,password) values(1,'admin','admin');

mysql> select * from table1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | admin    |
+----+----------+----------+

三、代码遇到的问题

遭遇:

想要查询到admin就必须username=admin

但是访问username=admin 就会打印出Permission denied!从而停在这里

测试

解决思路:

在admin后加类似%%的字符 MySQL将%%进行删掉,放弃

这样程序进行 不是admin 而mysql执行的是admin

使用username=admin%c2尝试

四、出现问题1

断点调试,分析问题

发现问题点:

注意到了sql返回的执行语句 table1是带单引号的

在mysql尝试发现错误

去掉table1的单引号

问题解决

五、出现问题2

为什么是%c2呢 为什么%c1就不行

原因:

造成这个Trick的根本原因是,Mysql字段的字符集和php mysqli客户端设置的字符集不相同

整个操作就有如下字符串转换过程:

utf8 --> utf8 --> latin1

最后执行比较username='admin'的时候,'admin'是一个latin1字符串

utf-8---->utf-8---->gbk

基本原因是utf-8遇到了不完整的编码进而进行忽略

举例:

1、http://127.0.0.1/mysql_1.php?username=admin�

2、http://127.0.0.1/mysql_1.php?username=admin��

3、http://127.0.0.1/mysql_1.php?username=admin佬

举例总结:

我们查询username=admin%e4时,%e4被省略,最后查出了username=admin的结果。

举例的1和2 就是utf-8的编码不完整会忽略其部分 所有可以注入成功

而举例的3 就是完整的utf-8的编码 会解译为佬 所有可以注入失败

相关推荐
2501_916013747 分钟前
App 上架全流程指南,iOS App 上架步骤、App Store 应用发布流程、uni-app 打包上传与审核要点详解
android·ios·小程序·https·uni-app·iphone·webview
牛蛙点点申请出战15 分钟前
仿微信语音 WaveView 实现
android·前端·ios
用户0919 分钟前
Android View 事件分发机制详解及应用
android·kotlin
ForteScarlet27 分钟前
Kotlin 2.2.20 现已发布!下个版本的特性抢先看!
android·开发语言·kotlin·jetbrains
诺诺Okami36 分钟前
Android Framework-Input-8 ANR相关
android
法欧特斯卡雷特39 分钟前
Kotlin 2.2.20 现已发布!下个版本的特性抢先看!
android·前端·后端
人生游戏牛马NPC1号40 分钟前
学习 Android (二十一) 学习 OpenCV (六)
android·opencv·学习
用户20187928316740 分钟前
Native 层 Handler 机制与 Java 层共用 MessageQueue 的设计逻辑
android
lichong9511 小时前
【混合开发】vue+Android、iPhone、鸿蒙、win、macOS、Linux之android 把assert里的dist.zip 包解压到sd卡里
android·vue.js·iphone
·云扬·2 小时前
MySQL 日志全解析:Binlog/Redo/Undo 等 5 类关键日志的配置、作用与最佳实践
android·mysql·adb