关于utf-8编码规范练习题

目录

一、代码内容

二、MySQL内容

三、代码遇到的问题

遭遇:

解决思路:

四、出现问题1

断点调试,分析问题

发现问题点:

问题解决

五、出现问题2

原因:

举例:

举例总结:


一、代码内容

二、MySQL内容

创建table1表并插入数据

sql 复制代码
mysql> use security

mysql> create table table1(id int(10) primary key auto_increment,username varchar(50) not null,password varchar(50) not null);

mysql> desc table1;
+----------+-------------+------+-----+---------+----------------+
| Field    | Type        | Null | Key | Default | Extra          |
+----------+-------------+------+-----+---------+----------------+
| id       | int(10)     | NO   | PRI | NULL    | auto_increment |
| username | varchar(50) | NO   |     | NULL    |                |
| password | varchar(50) | NO   |     | NULL    |                |
+----------+-------------+------+-----+---------+----------------+

mysql> insert into table1(id,username,password) values(1,'admin','admin');

mysql> select * from table1;
+----+----------+----------+
| id | username | password |
+----+----------+----------+
|  1 | admin    | admin    |
+----+----------+----------+

三、代码遇到的问题

遭遇:

想要查询到admin就必须username=admin

但是访问username=admin 就会打印出Permission denied!从而停在这里

测试

解决思路:

在admin后加类似%%的字符 MySQL将%%进行删掉,放弃

这样程序进行 不是admin 而mysql执行的是admin

使用username=admin%c2尝试

四、出现问题1

断点调试,分析问题

发现问题点:

注意到了sql返回的执行语句 table1是带单引号的

在mysql尝试发现错误

去掉table1的单引号

问题解决

五、出现问题2

为什么是%c2呢 为什么%c1就不行

原因:

造成这个Trick的根本原因是,Mysql字段的字符集和php mysqli客户端设置的字符集不相同

整个操作就有如下字符串转换过程:

utf8 --> utf8 --> latin1

最后执行比较username='admin'的时候,'admin'是一个latin1字符串

utf-8---->utf-8---->gbk

基本原因是utf-8遇到了不完整的编码进而进行忽略

举例:

1、http://127.0.0.1/mysql_1.php?username=admin�

2、http://127.0.0.1/mysql_1.php?username=admin��

3、http://127.0.0.1/mysql_1.php?username=admin佬

举例总结:

我们查询username=admin%e4时,%e4被省略,最后查出了username=admin的结果。

举例的1和2 就是utf-8的编码不完整会忽略其部分 所有可以注入成功

而举例的3 就是完整的utf-8的编码 会解译为佬 所有可以注入失败

相关推荐
茶栀(*´I`*)1 小时前
Android 测试入门指南:ADB 基础配置与常用设备管理命令解析
android·adb
gxgldyh3 小时前
Android Framework源码解析(七):BootAnimation 启动流程解析——开机动画是如何显示出来的?
android
达达尼昂4 小时前
在 Claude Cowork 中用好 Claude Fable 5
android·人工智能·后端
sTone873754 小时前
写时复制COW的第一性理解
android·c++·flutter
sTone873754 小时前
Zygote的第一性理解
android
sTone873754 小时前
类RN框架通过Service暴露卡片渲染能力给AI Chat
android·react native
灯火不休4 小时前
Android Studio & Flutter 构建命令完全指南
android
杉氧5 小时前
Ktor 全栈之路 (5):JWT 认证全流程实战 —— 打造安全通信闭环
android·架构·kotlin
️学习的小王5 小时前
Python + MySQL 学生信息管理系统实战教程
android·python·mysql
帅次5 小时前
Android 高级工程师面试:Flutter 路由导航 近1年高频追问 18 题
android·flutter·面试