宽字节注入 - 宽字节注入技术,学习,经验文章

Atri厨

2 天前

宽字节注入详解在以前的网站的，有部分网站的编码方式为gbk，而数据库的编码为utf-8。其中最重要的特定是gbk为两个字节表示一个汉字，而utf-为三个字节表示一个汉字，这种差异性就能创造注入的可能。同时Web 应用为了防御 SQL 注入，会对用户输入中的特殊字符（如 '）进行转义，如'则转义成 “ \' ”，它们在十六进制下为%5c%27，而这在gbk编码环境下，如果我们再在前面加一个字节，如%df这就会与%5c又重新构成一个汉字，这就把%27也就是那个 “ ' ”逃逸出来了吗？