二次编码注入
Posted 安全界 的彭于晏
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了二次编码注入相关的知识,希望对你有一定的参考价值。
宽字节注入和二次编码注入:
是在面对php代码或配置,对输入‘(单引号)进行转义的时候
在处理用户输入数据时存在问题,可以绕过转义
二次注入原理,主要分为两部
第一步:插入恶意数据
第一次进行数据库插入数据的时候,
仅仅对其中的特殊字符进行了转义,
在写入数据库的时候还是保留了原来
的数据,但是数据本身包含恶意内容。
第二步:引用恶意数据
在将数据存入到数据库中之后,开发者
就认为数据是可信的。在下一次需要进
查询的时候,直接从数据库中取出恶意
数据,没有进行进一步检验和处理,这样
就会造成SQL的二次注入
二次注入防御:
对外部提交的数据,需要更加谨慎点对待.
程序内部的数据调用,也要严格的进行检查
一旦不小心,测试者就能将特定的sql语句带入
查询当中
以上是关于二次编码注入的主要内容,如果未能解决你的问题,请参考以下文章