2008 年 8月 22 日随笔档案 - 有安科技 - 博客园

2008年8月22日

PHP字符编码绕过漏洞总结

摘要：其实这东西国内少数黑客早已知道，只不过没有共享公布而已。有些人是不愿共享，宁愿烂在地里，另外的一些则是用来牟利。该漏洞最早2006年被国外用来讨论数据库字符集设为GBK时，0xbf27本身不是一个有效的GBK字符，但经过 addslashes() 转换后变为0xbf5c27，前面的0xbf5c是个有效的GBK字符，所以0xbf5c27会被当作一个字符0xbf5c和一个单引号来处理，... 阅读全文

posted @ 2008-08-22 14:52 有安科技阅读(15902) 评论(5) 推荐(3) 编辑

公告

官网： https://www.uusec.com

昵称：有安科技
园龄： 17年8个月
粉丝： 48
关注： 0

<

2025年3月

>

日

一

二

三

四

五

六

23

24

25

26

27

28

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

1

2

3

4

5

随笔分类

阅读排行榜

推荐排行榜

最新评论

1. Re:使用 inotify 监控 Linux 文件系统事件
你好，我也刚用inotify + rsync做了一个多服务器同步，我发现一个inotify的问题，不知道博主可曾遇到，有没有解决的方法。我的项目并发性较大，我在同时删除大量目录的时候，发现inotif...
--zhoukunta
2. Re:某大学智力测试题
貌似很简单~~~
--xxxxxxxxxxx
3. Re:中秋写了个狼吃羊的智力游戏
xiazaibuliao
--chenxing
4. Re:中秋写了个狼吃羊的智力游戏
hao
--chenxing
5. re: 开源asp.net IDS
怎么用都不说一下
--gudufy
6. re: 开机杀毒实现
杀毒软件，究其原理：一个完备精炼的病毒库，一个高效的搜索引擎和匹配算法。归到最后其实就是上边的一个函数strcmp呵呵，不知道大家有何高见。______________________________...
--HappyQQ
7. re: 感染linux脚本程序技术
有没有考虑过：干脆写上 rm -rf 得了。怎么让用户执行这个脚本？系统目录对于普通用户是不可写的。所以你的这个不能对系统造成破坏。一般用户在使用shell script时，都要打开看看的。用Linu...
--thinkweird
8. re: PHP字符编码绕过漏洞总结
其实知道原理，解决也就很简单，在放入sql语句前再用str_replace()函数替换下就可以了
--Safe3
9. re: PHP字符编码绕过漏洞总结
确实存在这个问题，这应该是PHP的机制问题，我写了一个针对GBK的二次过滤方法，可这个效率太慢了，前辈，不知道PHP下面有没有什么别的针对这个问题的解决方法，addslashes在我写的代码中使用的太...
--yuehei
10. re: 超级后门泄露版
在那下啊能不能给我发一个啊谢谢哦你的作品真的很棒支持求求你啦发给我一个吧
--小恋
11. re: PHP字符编码绕过漏洞总结
大牛的Baidu帖子非常牛B
--est
12. re: PHP字符编码绕过漏洞总结
又一种猛烈的攻击手法流行了。~
--余弦
13. re: PHP字符编码绕过漏洞总结
nice!
--axis
14. re: Apache Tomcat UTF-8编码漏洞
传说中的沙发
--234
15. re: discuz获取任意管理员密码漏洞利用工具vbs版
传说中的沙发,坐着慢慢看
--TFA