Mysql绕过小技巧

上源码。

<?php
$mysqli = new mysqli("localhost", "root", "root", "security");/* check connection */
if ($mysqli->connect_errno) {printf("Connect failed: %s\n", $mysqli->connect_error);exit();
}$mysqli->query("set names utf8");$username = addslashes($_GET['username']);if ($username === 'admin') {die('permission denied');
}/* Select queries return a resultset */
$sql = "SELECT * FROM `users` WHERE username='{$username}'";if($result = $mysqli->query($sql)) {printf("Select returned %d rows.\n", $result->num_rows);while($row = $result->fetch_array(MYSQLI_ASSOC)){var_dump($row);}$result->close();
}else{var_dump($mysqli->error);
}$mysqli->close();

 这是一个基于utf-8的一道练习题。

$username = addslashes($_GET['username']);

首先这句是对username的值进行过滤，过滤掉你的单引号。

if ($username === 'admin') {

    die('permission denied');

}

这句如果你的username等于admin，就进入permission denied，意味着失败。

所以我们现在想的就是如何去绕过这些过滤，就需要在admin后面加一些字符，让程序觉得你不是admin让数据库觉得你又是admin就行。

为什么加了一个c2就可以实现绕过了呢。

造成这种的原因其实是字符集不同导致的。

当我门设置了set names utf8的时候，mysql的字符集从utf-8-->utf-8-->latin1。

这就导致出现了字符集的差异。

比如佬这个字，在utf-8中的编码是\%e4\%bd\%ac。

将这三个一个一个的挨个写进url中运转。

127.0.0.1/web4.php?username=admin%e4

127.0.0.1/web4.php?username=admin%e4%bd

127.0.0.1/web4.php?username=admin佬

当%ac加进去的时候就变成了佬字，前两个url都能成功的绕过，最后一个不行，是因为latin1不识别汉字，导致无法绕过，而utf-8里，一个汉字是三个字节，而当这个汉字的字节不全时，比如上面两个url，就会把admin后面的字符给无视掉，所以实现了绕过。

这是另外的绕过方式，c2这个是因为：

UTF-8编码是变长编码，可能有1~4个字节表示：

1. 一字节时范围是[00-7F]

2. 两字节时范围是C0-DF

3. 三字节时范围是E0-EF[80-BF]

4. 四字节时范围是F0-F780-BF

c2属于两个字节的范围，所以依然不完全，也让mysql无视掉了。