宽字节注入

        在使用PHP和Mysql时，设置“setcharacter_set_client=gbk”时可能会导致宽字节注入。宽字节注入的原理是这样子的，当提交1.php?id=1时，假如Mysql语句为“select * from user where id=’1’”，当参数使用了addslashes()、mysql_escape_string()或者GPC开关来过滤单引号（’）、双引号（”）、反斜杠（\）和NULL字符，会在这些符号前面加上反斜杠加以转义，如下：

');
		print_r('邮  箱： ' . $email . '
');
		$sql = mb_convert_encoding($sql, "UTF-8", "GBK");
		print_r('
SQL语句：' . $sql);
		
	}

	mysql_close($conn);

单引号没有闭合，无法实现注入。我们在参数后面加上%df%27，即可把程序中转义的\（%5c）吃掉。这是因为%df和\组合成了%df%5c，解码成了“運”字，后面的%27（单引号）没有被转义，成功实现了闭合。如下：

 

        漏洞的产生是因为在PHP连接Mysql时执行了“setcharacter_set_client=gbk”，比如“SET NAMES GBK”，实际上是执行了如下操作：

set character_set_connection = gbk,

set character_set_results=gbk,

set character_set_client=gbk

而mysql_set_charset(‘gbk’)实际上是调用了SET NAMES，因此也存在漏洞。同样的编码转换函数iconv()、mb_convert_encoding()等也会产生漏洞。

 

漏洞的防范方法有以下几种：

1） 在执行查询之前执行如下操作：SET NAMES GBK; character_set_client=binary。

2） 使用mysql_real_escape_string()安全转义函数进行参数过滤。

3） 使用pdo方式预编译处理数据库查询。