二次注入——sqli-labs第24关

第24关

提示说：please login to continue,请登录以继续。
没有账号怎么登录？
当然是选择注册

盲猜会有个admin的账号，所以注册一个admin '#的账号。密码是12345

（上帝视角）此时数据库里admin的密码是admin

登录刚刚注册的账号

然后为admin '#修改密码为123

修改成功（此时真的是修改admin '#的密码吗）

（又一次上帝视角）进入数据库，发现admin的密码成了123，而admin '#的密码并没有重置

原理

这就是二次注入，它的原理是：

（1）后端（PHP）代码对语句进行了转义

（2）保存进数据库（mysql）时没有转义，是原语句

简而言之就是数据库对自己存储的数据非常放心，而用户恰恰向数据库插入了恶意语句。

解析

比如前面所注册的admin '#账号，在注册时，后端对其进行了转义（ addslashes() 或者mysql_real_escape_string和mysql_escape_string 等），'#被转义成了其他的东西，所以一次注入无效。
但是在保存进数据库的时候，还是admin '#。

那么修改密码时的语句如下：

update users set  password='123' where username='admin '#'

所以你以为修改的是admin '#的账号，但是数据库理解成要修改密码的账号是admin。

防范

至于如何防范二次注入也很简单：
一碗水端平，后端进行了转义，数据库也同样进行转义。