SQL注入——宽字节注入

·1 搭建环境

首先自己动手搭建一个简单的实验环境，写了一个很简单的源码，甚至标题都给出了SQL宽字节注入，所以只是针对性练习了，无任何实战意义┐(‘～`；)┌ 

';
$query=' select * from user where id=\''.$id.'\';';
var_dump($query);
echo '
';
$result=mysqli_query($link,$query);//or die(mysqli_error($link));
if(!$result || mysqli_num_rows($result) < 1){
    die('Invalid id!');
}

echo '
';
$row = mysqli_fetch_assoc($result);
echo "Hello ".$row['username']."
";
echo '
';
echo "ID:".$row['id']."
";
echo "Username: ".$row['username']."
";
?>

其中SQL语句就是：select * from user where id=\''.$id.'\'; 就是根据id把用户名显示出来，当然是不显示密码啦~
·2 分析

addslashes函数数将$id的值转义，这样只要我们的输入参数在单引号中，就逃不出单引号的限制于是就无法注入，这在上一篇文章中的SQL注入便深有体会。

下面就是宽字节注入，id=1时对应的用户如下：

mysql在使用GBK编码的时候，会认为两个字符是一个汉字，第一个字节ascii码大于128，才会是一个汉字，所以如果我们在id=1的后面输入 %df’ 结果如下：

报错了，说明sql语句出错，说明有宽字节可以注入。
在’也就是%27前面加了一个%df就报错了，而且单引号前面的反斜杠不见了。因为gbk是多字节编码，sql认为两个字节代表一个汉字，所以%df和后面的\也就是%5c变成了一个汉字“運”，而’逃脱了出来。
因为两个字节代表一个汉字，所以可以试试 %df%df%27 ：

发现不报错了，而且出现了正常的界面，就是在id=1后面多了个汉字。这是因为%df%df是一个汉字，%5c%27不是汉字，仍然是\’。