首页 / MYSQL / sql编码造成的安全问题(基于mysql8.0版本)

sql编码造成的安全问题(基于mysql8.0版本)

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了sql编码造成的安全问题(基于mysql8.0版本)，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含1483字，纯文字阅读大概需要3分钟。

内容图文

参考文章：https://www.leavesongs.com/PENETRATION/mysql-charset-trick.html

https://www.leavesongs.com/PENETRATION/Mini-XCTF-Writeup.html

建议先看下上面两篇文章

参考离别歌大神测试了一下mysql8.0版本是否也存在这个问题

mysql8.0开始，默认编码是utf8mb4，但总有数据库会设置为gbk，所以也可能存在同样编码问题

<?php
define('DBHOST', '127.0.0.1');
define('DBUSER', 'root');
define('DBPW', 'password');
define('DBNAME', 'stu');
define('DBPORT', '3306');

$link=@mysqli_connect(DBHOST, DBUSER, DBPW, DBNAME, DBPORT);



for($i = 0 ; $i < 256 ; $i++){
    $c = chr($i);
    $name = @mysqli_real_escape_string($link,'201215121' . $c);
    $sql = "SELECT * FROM `s` WHERE `sno` = '{$name}'";
    $result=@mysqli_query($link,$sql);
    $row = @mysqli_fetch_array($result,MYSQLI_NUM);
    if ($row[0] == '201215121') {
        echo "$i";
        echo "{$c} <br/>";
    }
}

输出$c时可能会出现乱码，所以可以echo utf8_encode($i);

这里是ascii码0-256所有的对照字符 https://blog.csdn.net/ttmice/article/details/50978054

mysql8.0基本也存在同样的问题，对于其他编码，需要自己再进行测试

tips：测试发现无论后面添加多少空格，查询都是可行的，猜测sql查询会自动去掉空格，不过其它空白符不行
测试代码：

<?php
define('DBHOST', '127.0.0.1');址
define('DBUSER', 'root');
define('DBPW', 'password');
define('DBNAME', 'stu');
define('DBPORT', '3306');

$link=@mysqli_connect(DBHOST, DBUSER, DBPW, DBNAME, DBPORT);

$name = @$_GET['name'];

$sql = "SELECT * FROM `s` WHERE `sno` = '{$name}'";

$result=@mysqli_query($link,$sql);
$row = @mysqli_fetch_array($result,MYSQLI_NUM);
echo $row[0];

?>

内容总结

以上是互联网集市为您收集整理的sql编码造成的安全问题(基于mysql8.0版本)全部内容，希望文章能够帮你解决sql编码造成的安全问题(基于mysql8.0版本)所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/885940.html

来源：【匿名】

【上一篇】解决 mysql.connector.errors.NotSupportedError 【下一篇】用IE远程创建Mysql数据库的简易程序

更多 ►

【sql编码造成的安全问题(基于mysql8.0版本)】教程文章相关的互联网学习教程文章

Mysql8+mybatisGenerator (mysql 8的逆向工程)【代码】【图】

最近试了一下mysql8的逆向工程工具1.xml<?xml version="1.0" encoding="UTF-8" ?><!DOCTYPE generatorConfiguration PUBLIC"-//mybatis.org//DTD MyBatis Generator Configuration 1.0//EN""../mybatis-generate-core/src/main/resources/org/mybatis/generator/config/xml/mybatis-generator-config_1_0.dtd"><generatorConfiguration><context id="myTable"><property name="javaFileEncoding" value="UTF-8"/><!--哪个依赖合适用...

CentOS7上优雅地重置MySQL8.0数据库密码

https://blog.csdn.net/xinpengfei521/article/details/804001421.查看自动生成的密码安装完成后 MySQL会给我们自动生成一个随机密码查看命令如下：grep ‘temporary password‘ /var/log/mysqld.log1因为自动的生成的密码无法直接使用，也不便于我们记忆，所以我们要修改密码。2.配置文件 MySQL 免密码登录编辑 MySQL 的配置文件vim /etc/my.cnf1在 pid 开头的下面一行加入下面这句skip-grant-tables1保存并退出。3.重启 MySQL 服...

mysql8.0授予用户访问权限【代码】

请注意版本为mysql8.0创建用户方式一create user zephyr identified by ‘123123‘; 方式二create user zephyr@localhost identified by ‘123123‘ 用户信息可以在mysql.user表中查询，例如select user, host from mysql.user; 效果：注意：若不在创建用户时指定host，则默认host为%。授予访问权限授予zephyr访问数据库jdbc_learning的权限grant select, insert, delete, update on jdbc_learning.* to zephyr@localhost; 注意：若...

linux centos7安装mysql8【代码】【图】

一、RPM版安装查看是否有其他版本的数据库,若有,删除干净非root用户必须要有sudo权限1.下载mysql相关安装包https://mirrors.tuna.tsinghua.edu.cn/mysql/yum/mysql80-community-el7/mysql-community-server-8.0.18-1.el7.x86_64.rpm https://mirrors.tuna.tsinghua.edu.cn/mysql/yum/mysql80-community-el7/mysql-community-libs-8.0.18-1.el7.x86_64.rpm https://mirrors.tuna.tsinghua.edu.cn/mysql/yum/mysql80-community-el7/m...

mysql8.0用户操作和授权【代码】

1、查看mysql的版本mysql -V2、用户操作# 创建用户 createuser‘username‘@‘ip地址‘ identified by‘密码‘; # 用户重命名 rename user‘username‘@‘ip地址‘to‘new_username‘@‘ip地址‘; # 改变用户密码 alteruser‘username‘@‘ip地址‘ identified by‘新密码‘; # 删除用户 dropuser‘username‘@‘ip地址‘;注意：ip地址为%是任意地址，若192.168.%3、权限操作# 查看权限 show grants for‘username‘@‘ip地址‘ # ...

MySQL8.0.11 for linux7.2 二进制安装【代码】

MySQL8.0安装官方文档：https://dev.mysql.com/doc/refman/8.0/en/binary-installation.html安装前注意： MySQL8.0和MySQL5.7和之前的版本还是有区别的，第一点就是在安装MySQL的时候密码认证方式：默认的密码加密方式是：caching_sha2_password，而现在很多客户端工具还不支持这种加密认证方式，可以在配置文件中加入：default_authentication_plugin=mysql_native_password；这样就和MySQL5.7和之前的版本一样了。1、下载二进...

mysql8绿色免安装win64版本（自带heidisql.exe客户端)应该兼容老版第三方工具。

https://pan.baidu.com/s/1cvQ4AJX6rmqSpMhBQTPz4Q如果缺c库，自己去找下。使用方法：先执行initdb.bat初始化数据如果要安装为服务：执行inst_and_start_64.bat如果要命令行执行：直接执行run_console64.bat这个版本按理应该兼容老的客户端和第三方工具。原文：https://www.cnblogs.com/sevencatwang/p/9009234.html

centos7上安装mysql8【代码】【图】

话不多说仍然是更换虚拟机的系列安装。一、首先下载最先版的mysql。到官网下载https://dev.mysql.com/downloads/file/?id=477146下载后上传linux到相应的目录中二、一键安装yum -y install XXXX.rpm三、然后安装mysql服务器执行命令：yum -y install mysql-community-server即可，安装完成后启动并查看运行是否成功如下说明已经ok。登陆数据库，发现生成的临时密码什么的也不行均报错解决办法1. Stop mysql:systemctl stop mysqld2...

Docker安装MySQL8.0【代码】【图】

环境CentOS 7.5Docker 1.13.1MySQL 8.0.16安装拉取镜像默认拉取最新版本的镜像$ docker pull mysql 如果要指定版本，使用下面的命令$ docker pull mysql:8.0.16 创建数据目录和配置文件在宿主机创建放置mysql的配置文件的目录和数据目录，并且进行授权$ mkdir -p /usr/mysql/conf /usr/mysql/data$ chmod -R 755 /usr/mysql/ 创建配置文件在上面创建的配置文件目录/usr/mysql/conf下创建MySQL的配置文件my.cnf$ vim /usr/mysql/con...

MySQL8的WITH查询学习【代码】

前言对于逻辑复杂的sql，with可以大大减少临时表的数量，提升代码的可读性、可维护性 MySQL 8.0终于开始支持with语句了，对于复杂查询，可以不用写那么多的临时表了。可以查看官方文档【点击跳转】示例官方第一个示例，可以看出该查询语句创建了cte1,cte2,cte3,cte4这4个临时表，后面的临时表依赖前面的临时表数据。最后一行为最终查询结果，实际ct4因为ct3结果包含3行数据，但是使用MAX,MIN得到一行结果。WITH cte1(txt) AS (SE...

mysql8.0新增用户及密码加密规则修改【代码】【图】

1. 用户创建创建用户的操作已经不支持grant的同时创建用户的方式，需先创建用户再进行授权mysql> grant all on *.* to ‘admin‘@‘%‘ identified by ‘admin123‘; ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘identified by ‘admin123‘‘ at line 1 mysql> create user ‘admin‘@‘%‘ identified by...

win10+virtualBox(CentOS7)java 环境搭建之 mysql8安装【代码】【图】

安装新版mysql之前，需要将CentOS操作系统自带的数据库mariadb-lib卸载[root@localhost home]$ rpm -qa|grep mariadbmariadb-libs-5.5.56-2.el7.x86_64[root@localhost home]$ yum remove? -y? mariadb-libs-5.5.56-2.el7.x86_641、在官网上[https://dev.mysql.com/downloads/mysql/)寻找到与操作系统相对应版本的mysql安装包。这里下载的是：https://dev.mysql.com/get/Downloads/MySQL-8.0/mysql-8.0.20-1.el7.x86_64.rpm-bundle...

记mysql8.0.20下载安装以及遇到的问题【代码】【图】

1、浏览器搜索mysql下载安装地址：https://dev.mysql.com/downloads/mysql/ 2、登录或者不登录下载 3、下载的是一个压缩包，直接解压缩，无需安装 4、新建my.ini文件，内容如下关于sql_mode，像下面这个报错，就是因为group by字段必须完全显示在查询列里，所以去掉这个模式，就不在报错了。 Caused by: java.sql.SQLSyntaxErrorException: Expression #13ofSELECT list isnotinGROUPBY clause andcontains nonaggregated ...

MySQL8的WITH代码

WITH cte1(txt) AS (SELECT "This "), cte2(txt) AS (SELECT CONCAT(cte1.txt,"is a ") FROM cte1), cte3(txt) AS (SELECT "nice query" UNION SELECT "query that rocks" UNION SELECT "query"), cte4(txt) AS (SELECT concat(cte2.txt, cte3.txt) FROM cte2, cte3)SELECT MAX(txt), MIN(txt) FROM cte4;+----------------------------+----------------------+| MAX(txt) ...

linux(CentOS7.6)下安装mysql8.0并使用navicat远程访问【代码】【图】

上篇中2G内存服务器安装sql server失败了，这里我尝试使用mysql进行数据存储，简单点，直接用yum命令安装（在CentOS下，可以直接通过yum命令来安装数据库）；在CentOS7中默认安装有MariaDB，这个是MySQL的分支，但为了需要，还是要在系统中安装MySQL，而且安装完成之后可以直接覆盖掉MariaDB。1、创建mysql下载及安装目录(/usr/local/mysql) 2、添加安装包wget https://dev.mysql.com/get/mysql80-community-release-el7-1.noarch....

MYSQL - 技术教程分类

MySQL 教程 MySQL 安装 MySQL 管理 MySQL PHP 语法 MySQL 连接 MySQL 创建数据库 MySQL 删除数据库 MySQL 选择数据库 MySQL 数据类型 MySQL 创建数据表 MySQL 删除数据表 MySQL 插入数据 MySQL 查询数据 MySQL WHERE 子句 MySQL UPDATE 更新 MySQL DELETE 语句 MySQL LIKE 子句 MySQL UNION MySQL 排序 MySQL 分组 MySQL 连接的使用 MySQL NULL 值处理 MySQL 事务 MySQL ALTER命令 MySQL 索引 MySQL 临时表 MySQL 复制表 MySQL 元数据 MySQL 序列使用 MySQL 处理重复数据 MySQL 及 SQL 注入 MySQL 导出数据 MySQL 导入数据 MySQL 函数 MySQL 运算符 mysql 全部

MYSQL - 最热教程

sql分组取最大记录方法 mysql如何设置默认值 mysql创建数据表时指定默认值教程 MySQL 5.7 的初始化操作（root初始密码...Oracle中合并数据集(多行变一行)mysql 相同内容的字段合并为一条的方法解决mysql设置时区时的错误Unknown or ...解决ubuntu下mysql的'Access denied fo...ubuntu系统中MysqlERROR1045(28000)报错...mysql数据库设置不区分大小写

首页 / MYSQL / sql编码造成的安全问题(基于mysql8.0版本)

sql编码造成的安全问题(基于mysql8.0版本)

内容导读

内容图文

内容总结

内容备注

内容手机端

【sql编码造成的安全问题(基于mysql8.0版本)】教程文章相关的互联网学习教程文章

MYSQL - 技术教程分类

MYSQL - 最新教程

MYSQL - 最热教程