关于utf-8编码规范练习题

目录

一、代码内容

二、MySQL内容

三、代码遇到的问题

遭遇:

解决思路:

四、出现问题1

断点调试,分析问题

发现问题点:

问题解决

五、出现问题2

原因:

举例:

举例总结:


一、代码内容

二、MySQL内容

创建table1表并插入数据

sql 复制代码
mysql> use security

mysql> create table table1(id int(10) primary key auto_increment,username varchar(50) not null,password varchar(50) not null);

mysql> desc table1;
+----------+-------------+------+-----+---------+----------------+
| Field    | Type        | Null | Key | Default | Extra          |
+----------+-------------+------+-----+---------+----------------+
| id       | int(10)     | NO   | PRI | NULL    | auto_increment |
| username | varchar(50) | NO   |     | NULL    |                |
| password | varchar(50) | NO   |     | NULL    |                |
+----------+-------------+------+-----+---------+----------------+

mysql> insert into table1(id,username,password) values(1,'admin','admin');

mysql> select * from table1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | admin    |
+----+----------+----------+

三、代码遇到的问题

遭遇:

想要查询到admin就必须username=admin

但是访问username=admin 就会打印出Permission denied!从而停在这里

测试

解决思路:

在admin后加类似%%的字符 MySQL将%%进行删掉,放弃

这样程序进行 不是admin 而mysql执行的是admin

使用username=admin%c2尝试

四、出现问题1

断点调试,分析问题

发现问题点:

注意到了sql返回的执行语句 table1是带单引号的

在mysql尝试发现错误

去掉table1的单引号

问题解决

五、出现问题2

为什么是%c2呢 为什么%c1就不行

原因:

造成这个Trick的根本原因是,Mysql字段的字符集和php mysqli客户端设置的字符集不相同

整个操作就有如下字符串转换过程:

utf8 --> utf8 --> latin1

最后执行比较username='admin'的时候,'admin'是一个latin1字符串

utf-8---->utf-8---->gbk

基本原因是utf-8遇到了不完整的编码进而进行忽略

举例:

1、http://127.0.0.1/mysql_1.php?username=admin�

2、http://127.0.0.1/mysql_1.php?username=admin��

3、http://127.0.0.1/mysql_1.php?username=admin佬

举例总结:

我们查询username=admin%e4时,%e4被省略,最后查出了username=admin的结果。

举例的1和2 就是utf-8的编码不完整会忽略其部分 所有可以注入成功

而举例的3 就是完整的utf-8的编码 会解译为佬 所有可以注入失败

相关推荐
sun0077008 小时前
android ndk编译valgrind
android
AI视觉网奇9 小时前
android studio 断点无效
android·ide·android studio
jiaxi的天空9 小时前
android studio gradle 访问不了
android·ide·android studio
No Silver Bullet10 小时前
android组包时会把从maven私服获取的包下载到本地吗
android
catchadmin10 小时前
PHP serialize 序列化完全指南
android·开发语言·php
tangweiguo0305198712 小时前
Kable使用指南:Android BLE开发的现代化解决方案
android·kotlin
00后程序员张14 小时前
iOS App 混淆与资源保护:iOS配置文件加密、ipa文件安全、代码与多媒体资源防护全流程指南
android·安全·ios·小程序·uni-app·cocoa·iphone
柳岸风16 小时前
Android Studio Meerkat | 2024.3.1 Gradle Tasks不展示
android·ide·android studio
编程乐学16 小时前
安卓原创--基于 Android 开发的菜单管理系统
android
whatever who cares18 小时前
android中ViewModel 和 onSaveInstanceState 的最佳使用方法
android