因str_replace导致的注入问题总结
时间:2022-07-27
本文章向大家介绍因str_replace导致的注入问题总结,主要内容包括其使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
研究了下replace的注入安全问题。
一般sql注入的过滤方式就是引用addslashes函数进行过滤。
他会把注入的单引号转换成’,把双引号转换成”,反斜杠会转换成\等
写一段php代码:
<!DOCTYPE html
<html
<head
<title </title
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/
</head
<body
<?php
$x=$_GET['x'];
$id=str_replace(addslashes($_GET['y']),'',addslashes($x));
echo "过滤后:".addslashes($x)."<br/ ";
echo "replace替换绕过:".$id."<br/ ";
$conn = mysql_connect('127.0.0.1','root','root');//连接mysql数据库
mysql_select_db('test',$conn);//选择$conn连接请求下的test数据库名
$sql = "select * from user1 where id='$id'";//定义sql语句并组合变量id
$result = mysql_query($sql);//执行sql语句并返回给变量result
while($row = mysql_fetch_array($result)){//遍历数组数据并显示
echo "ID".$row['id']."</br ";
echo "用户名".$row['name']."</br ";
}
mysql_close($conn);//关闭数据库连接
echo "<hr ";
echo "当前语句:";
echo $sql;
?
</body
</html
发现是引用了addslashes函数的:
一个单引号或者双引号直接被转义,字符串注入到这里基本上gg了。没戏了。
addslashes的问题:
addslashes会把%00转换成
addslashes会把单引号(‘)转换成’
因为使用了str_replace函数,会替换那么输入%00′ 就被addslashes函数自动添加 ’,然后我们匹配0,就变成了\’再次转换成’,单引号成功逃逸。
<?php
echo str_replace("0","","<?php
echo str_replace("0",""," '")
? '")
?