T086学习网 | 站长学院 | 技术文档 | 成语 | 歇后语 | 帝国时代 | 代码收藏 | IP地址查询 | 生活百科 | 生日密码 | CSS压缩 | 用户评论 | 欣欣百宝箱

PHP字符GBK编码漏洞总结

2011-05-31 10:09:52
其实这东西国内少数黑客早已知道,只不过没有共享公布而已。有些人是不愿共享,宁愿烂在地里,另外的一些则是用来牟利。 该漏洞最早2006年被国外用来讨论数据库字符集设为GBK时,0xbf27本身不是一个有效的GBK字符,但经过 addslashes() 转换后变为0xbf5c27,前面的0xbf5c是个有效的GBK字符,所以0xbf5c27会被当作一个字符0xbf5c和一个单引号来处理,结果漏洞就触发了。 mysql_real_escape_string() 也存在相同的问题,只不过相比 addslashes() 它考虑到了用什么字符集来处理,因此可以用相应的字符集来处理字符。在MySQL 中有两种改变默认字符集的方法。 方法一: 改变mysql配置文件... 查看详细内容 >>
PHP字符GBK编码漏洞总结的相关文章推荐
GBK  编码  漏洞 

中文编码杂谈

编码问题的例子在windows自带的notepad(记事本)程序中输入“联通”两个字,保存后再次打开,会发现“联通”不见了,代之以“��ͨ”的乱码。这是windows平台上典型的中文编码问题。即文件保存的时...

网站被黑和站点安全

网站服务是否稳定,对用户、站方和搜索引擎来说都非常重要。目前国内网站的安全问题十分严峻,众多网站由第三方代建,维护人员缺乏足够的知识,大量的网站都存在不同程度的安全和管理漏洞。

PHP字符编码绕过漏洞--addslashes、mysql_real_escape漏洞

在上次活动开发过程中,有个程序写了下面这样的语句:$sName = $_GET['name']; $sName = addslashes($sName); $sql = "SELECT COUNT(lGid) AS total FROM tbRank WHERE `sName` LIKE '%$sName%';"; va...

GBK字符集下addslashes函数的注入漏洞及BUG的解决办法

大家都知道,addslashes是过滤垃圾信息的函数,如果你的PHP环境打开了魔法函数,那么addslashes这个函数将自动运行对用户提交的信 息进行过滤。但是addslashes函数在进行转义的时候,只对二进制字符串操作二不考虑字...

中文字符集与字符编码(gb2312,big5)的基础知识

字符是各种文字和符号的总称,包括各国家文字、标点符号、图形符号、数字等。字符集是多个字符的集合,字符集种类较多,每个字符集包含的字符个数不同,常见字符集名称:ASCII字符集、GB2312字符集、BIG5字符集、 GB...

linux下使用nc进行大文件跨网传输

很多时候,我们需要将一些大的文件进行跨网传输,一个文件动不动几十G,当你的带宽资源紧张的时候,传输这样几个文件会花10小时,甚至几天。 nc传输文件,通过以下方法,将加快文件传输,希望对大家有所帮助。 环境:...

高级PHP应用程序漏洞审核技术

高级PHP应用程序漏洞审核技术 前言 传统的代码审计技术 PHP版本与应用代码审计 其他的因素与应用代码审计 扩展我们的字典 变量本身的key 变量覆盖 遍历初始化变量 parse_str()变量覆盖漏洞 import_request_variables...

Apache HTTP Server 中发现严重安全漏洞

IT安全公司 Sense of Security在Apache的HTTP web server中发 现了一 个严重的漏洞,该漏洞允许远程攻击者获得一个数据库的完整控制权。该漏洞存在于Apache核心的mod_isapi模块中。 利用该漏洞,一位攻 击者能远程提...

PHP中GBK和UTF8编码处理

一、编码范围1. GBK (GB2312/GB18030)x00-xff GBK双字节编码范围x20-x7f ASCIIxa1-xff 中文x80-xff 中文2. UTF-8 (Unicode)u4e00-u9fa5 (中文)x3130-x318F (韩文)xAC00-xD7A3 (韩文)u0800-u4e00 (日文)ps: 韩文是大于...

linux下GBK->UTF-8文件编码批量转换脚本

find default -type d -exec mkdir -p utf/{} ;find default -type f -exec iconv -f GBK -t UTF-8 {} -o utf/{} ;这两行命令将default目录下的文件由GBK编码转换为UTF-8编码,目录结构不变,转码后的文件保存在utf/...

GB2312简体中文编码表

code +0 +1 +2 +3 +4 +5 +6 +7 +8 +9 +A +B +C +D +E +FA1A0   、 。 · ˉ ˇ ¨ 〃 々 — ~ ‖ … ‘ ’A1B0 “ ” 〔 〕 〈 〉 《 》 「 」 『 』 〖 〗 【 】A1C0 ± × ÷ ∶ ∧ ∨ ∑ ∏ ∪ ∩ ∈ ∷ √ ⊥ ...

动易万元赏金邀各路安全技术高手寻产品漏洞

2008年1月,国内知名内容管理系统和网店系统厂商动易公司正式宣传对旗下动易 SiteWeaver 系列软件实行开源。随着动易软件的开源发布,动易软件的安全性再次受到了业界与用户的广泛关注。日前,动易公司一项名为“万元...

JAVA字符集编码

1. 概述 本文主要包括以下几个方面:编码基本知识,java,系统软件,url,工具软件等。 在下面的描述中,将以 中文 两个字为例,经查表可以知道其GB2312编码是 d6d0 cec4 ,Unicode编码为 4e2d 6587 ,UTF编码就是 e...

38条PHP编码优化加速技巧

1. 尽量采用大量的PHP内置函数。 2. echo 比 print 快。 3. 不要把方法细分得过多,仔细想想你真正打算重用的是哪些代码? 4. 在执行for循环之前确定最大循环数,不要每循环一次都计算最大值。 5. 注销那些不用的变量...

PHP中GBK和UTF8编码处理

一、编码范围 1. GBK (GB2312/GB18030)x00-xff GBK双字节编码范围x20-x7f ASCIIxa1-xff 中文x80-xff 中文 2. UTF-8 (Unicode)u4e00-u9fa5 (中文)x3130-x318F (韩文xAC00-xD7A3 (韩文)u0800-u4e00 (日文)ps: 韩文是大...

Flash 视频(FLV)编码,转换,录制,播放方案一网打尽

Collected links to Flash Video Encoding Tools & Related这是我收集的一份列表,自认为比较完整,希望对大家有所帮助.如果你知道更多,欢迎补充啦! 客户端编码工具(Client-Side-FLV-Encoding)场景:拿到一个 MPG 或...

Microsoft Internet Explorer OuterHT

名称: Microsoft Internet Explorer OuterHTML重新定向信息泄漏漏洞(MS06-042) 发布日期:2006-06-27 更新日期:2006-08-10 受影响系统: Microsoft Internet Explorer 6.0 不受影响系统: 描述: BUGTRAQ ID: 18...

ajax代理程序自动判断字符编码

由于ajax在跨域的访问上有问题,目前最好的方法是做代理.写了个代理程序和心得. 为了做ajax的代理,研究了下服务器端的xmlhttp并和客户端的ajax中的xmlhttp做了个比较,后台代码是asp的. 服务器端的xmlhttp也就是asp小偷...

百度,请你尽快修复漏洞

  漏洞表现:作弊网站将出现在百度搜索页面的相关搜索栏甚至百度搜索风云榜。测试发现点击率非常高!一个试图作弊的网站可能不费吹灰之力网站而一夜成名。效果可能远远好于竞价排名和右侧的火暴地带。此漏洞若不及...
更多
留言建议ASP探针PHP探针站长Enjoy的Blog
© 2017 T086学习网 - T086.com(原itlearner.com)
RunTime:11.93ms QueryTime:3