[讨论]关于SQL注入如果我屏掉空格。。-WEB安全-看雪-安全社区|安全招聘|kanxue.com

[讨论]关于SQL注入如果我屏掉空格。。

发表于: 2010-6-3 13:28 9247

[讨论]关于SQL注入如果我屏掉空格。。

pinkygreat 活跃值

2010-6-3 13:28

9247

在网页获得参数值的时候，判断值，如果值有空格就不能进行下一步操作。
是不是就能达到防止SQL注入？

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・2

免费・0

支持

最新回复 (23)
pinkygreat 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	pinkygreat 2 楼因为SQL语句一般是含空格的，获得的参数值与注入的SQL语句之间肯定也有空格，用if语句判断如果有空格就不能操作。 2010-6-3 13:34 0
kingwrcy 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	kingwrcy 3 楼如果这样呢？ update//user// set/**/password='123456'; 也没空格. 2010-6-7 15:11 0
pinkygreat 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	pinkygreat 4 楼这样的sql语句能执行吗？我还没见过这样的sql语句，请问一下这样的sql语句在哪种数据库执行？转义符号？请赐教。 2010-6-8 11:21 0
pinkygreat 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	pinkygreat 5 楼 update//T_SYS_USER//set/**/US_PWD='111' SQLserver2005真的可以执行，大哥好厉害！ 2010-6-10 15:04 0
pinkygreat 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	pinkygreat 6 楼学习了 2010-6-10 15:05 0
lipss 雪币： 4634 活跃值： (936) 能力值： ( LV13，RANK：350 ) 在线值：发帖 27 回帖 91 粉丝 21 关注私信	lipss 4 7 楼 and((select(asc(mid(pass,1,1)))from[name])>97 谁说注入一定需要空格哇。。。 2010-7-3 04:56 0
iicup 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	iicup 8 楼禁止一切特殊符号。既然连空格都可以禁止，其他符号没有理由放行。 2010-7-3 08:39 0
bk7477890 雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	bk7477890 9 楼如果你是MSSQL可以使用@参数化你要查询的条件，只做屏蔽和过滤是非常危险的。 2011-10-5 12:58 0
ctaotao 雪币： 324 活跃值： (113) 能力值： ( LV15，RANK：280 ) 在线值：发帖 20 回帖 102 粉丝 3 关注私信	ctaotao 6 10 楼有些数据库引擎这样也行，se/*/lect from user. 2011-10-17 12:24 0
Possible 雪币： 87 活跃值： (25) 能力值： ( LV6，RANK：80 ) 在线值：发帖 30 回帖 147 粉丝 1 关注私信	Possible 11 楼这个是什么数据库可以，能否指教一下?谢谢（我试了好几个数据库都不可以） 2011-11-1 12:50 0
shuichon 雪币： 6924 活跃值： (2745) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 239 粉丝 1 关注私信	shuichon 12 楼当然可以执行了，/**/ 在sql语句中是注释的作用，其实还有很多方法可以代替空格的。所以仅仅过滤空格是不行的。 2011-11-1 16:36 0
riucd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	riucd 13 楼如果过滤掉单引号呢？时不时就完全OK了？ 2011-12-23 20:12 0
lylxd 雪币： 5147 活跃值： (3367) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 14 楼参数是数字。。。直接转换 int ,异常就over 2011-12-24 04:19 0
knightc 雪币： 424 活跃值： (13) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	knightc 2 15 楼楼上的宽泛一点就是白名单的概念了只允许指定的规则内语句执行不过网站需要先进行一段时间的学习同时时下的很多java框架稍微注意一下基本注入就都防护了 2012-2-1 11:47 0
ylbhz 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	ylbhz 16 楼字符串，过滤单引号。数字参数强制INT转换 2012-4-6 13:57 0
慕容嫣雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	慕容嫣 17 楼这个是可以执行的，/**/就是mysql中的注释嘛 2012-4-7 10:51 0
慕容嫣雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	慕容嫣 18 楼这个是可以执行的，/**/就是mysql中的注释嘛 2012-4-7 10:52 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 19 楼把提交的数据通过web程序自定义编码后扔到数据库存储就一切清静了。例如 select xx from xx s e l xxx xxxx xxxxx 代表这个编码方式没有空格和不和谐的特殊符号()/*%什么的就行了。每个字符重编码现实的时候解码返回乱弹一下呵呵 2012-4-23 11:28 0
redcy 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 31 粉丝 0 关注私信	redcy 20 楼对提交的参数进行安全检查就可以了。判断提交参数的数据类型以及长度，对付一般的注入就可以了。对于字符串要有长度限制，和过滤特殊符号。 2012-4-23 14:16 0
uing 雪币： 85 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 160 粉丝 0 关注私信	uing 21 楼不就一空格么 union+select+username,password+form+admin-- 或者换成chr(XX), %XX等等~~ 2012-4-23 14:27 0
dayang 雪币： 220 活跃值： (711) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 22 楼这些+密，变换对ACCESS都是无效的 2012-4-23 14:34 0
itf 雪币： 1681 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 127 粉丝 0 关注私信	itf 23 楼学习了！！！！！！！！！！！！！ 2012-4-25 16:32 0
afeixbug 雪币： 3 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	afeixbug 24 楼不行的，还是不安全，因为ascii 码表 256个字符里面有不少可以代替空格，具体可以用脚本跑一下就知道，这个在 sqli-labs第26课有相应的实验，就是要你在空格被过滤的情况下找到可以代替空格的字符，可以用下面的 ruby脚本找到可以代替空格的字符： require 'net/http' require 'open-uri' $url = "http://127.0.0.1/Less-26/?id=1" $success_str = "Dumb" 255.times do \|i\| sep = '%' + '%02x' % i request = "http://127.0.0.1/Less-26/?id=#{sep}1" open(request) do \|io\| filters.push(sep) unless io.read.include?($success_str) end end puts filters 2017-10-30 14:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

pinkygreat

发帖

回帖

RANK

关注

私信

他的文章

[讨论]关于SQL注入如果我屏掉空格。。 9248

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
pinkygreat 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	pinkygreat 2 楼因为SQL语句一般是含空格的，获得的参数值与注入的SQL语句之间肯定也有空格，用if语句判断如果有空格就不能操作。 2010-6-3 13:34 0
kingwrcy 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	kingwrcy 3 楼如果这样呢？ update//user// set/**/password='123456'; 也没空格. 2010-6-7 15:11 0
pinkygreat 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	pinkygreat 4 楼这样的sql语句能执行吗？我还没见过这样的sql语句，请问一下这样的sql语句在哪种数据库执行？转义符号？请赐教。 2010-6-8 11:21 0
pinkygreat 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	pinkygreat 5 楼 update//T_SYS_USER//set/**/US_PWD='111' SQLserver2005真的可以执行，大哥好厉害！ 2010-6-10 15:04 0
pinkygreat 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	pinkygreat 6 楼学习了 2010-6-10 15:05 0
lipss 雪币： 4634 活跃值： (936) 能力值： ( LV13，RANK：350 ) 在线值：发帖 27 回帖 91 粉丝 21 关注私信	lipss 4 7 楼 and((select(asc(mid(pass,1,1)))from[name])>97 谁说注入一定需要空格哇。。。 2010-7-3 04:56 0
iicup 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	iicup 8 楼禁止一切特殊符号。既然连空格都可以禁止，其他符号没有理由放行。 2010-7-3 08:39 0
bk7477890 雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	bk7477890 9 楼如果你是MSSQL可以使用@参数化你要查询的条件，只做屏蔽和过滤是非常危险的。 2011-10-5 12:58 0
ctaotao 雪币： 324 活跃值： (113) 能力值： ( LV15，RANK：280 ) 在线值：发帖 20 回帖 102 粉丝 3 关注私信	ctaotao 6 10 楼有些数据库引擎这样也行，se/*/lect from user. 2011-10-17 12:24 0
Possible 雪币： 87 活跃值： (25) 能力值： ( LV6，RANK：80 ) 在线值：发帖 30 回帖 147 粉丝 1 关注私信	Possible 11 楼这个是什么数据库可以，能否指教一下?谢谢（我试了好几个数据库都不可以） 2011-11-1 12:50 0
shuichon 雪币： 6924 活跃值： (2745) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 239 粉丝 1 关注私信	shuichon 12 楼当然可以执行了，/**/ 在sql语句中是注释的作用，其实还有很多方法可以代替空格的。所以仅仅过滤空格是不行的。 2011-11-1 16:36 0
riucd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	riucd 13 楼如果过滤掉单引号呢？时不时就完全OK了？ 2011-12-23 20:12 0
lylxd 雪币： 5147 活跃值： (3367) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 14 楼参数是数字。。。直接转换 int ,异常就over 2011-12-24 04:19 0
knightc 雪币： 424 活跃值： (13) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 41 粉丝 0 关注私信	knightc 2 15 楼楼上的宽泛一点就是白名单的概念了只允许指定的规则内语句执行不过网站需要先进行一段时间的学习同时时下的很多java框架稍微注意一下基本注入就都防护了 2012-2-1 11:47 0
ylbhz 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	ylbhz 16 楼字符串，过滤单引号。数字参数强制INT转换 2012-4-6 13:57 0
慕容嫣雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	慕容嫣 17 楼这个是可以执行的，/**/就是mysql中的注释嘛 2012-4-7 10:51 0
慕容嫣雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	慕容嫣 18 楼这个是可以执行的，/**/就是mysql中的注释嘛 2012-4-7 10:52 0
kvllz 雪币： 703 活跃值： (327) 能力值： (RANK：380 ) 在线值：发帖 48 回帖 469 粉丝 3 关注私信	kvllz 8 19 楼把提交的数据通过web程序自定义编码后扔到数据库存储就一切清静了。例如 select xx from xx s e l xxx xxxx xxxxx 代表这个编码方式没有空格和不和谐的特殊符号()/*%什么的就行了。每个字符重编码现实的时候解码返回乱弹一下呵呵 2012-4-23 11:28 0
redcy 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 31 粉丝 0 关注私信	redcy 20 楼对提交的参数进行安全检查就可以了。判断提交参数的数据类型以及长度，对付一般的注入就可以了。对于字符串要有长度限制，和过滤特殊符号。 2012-4-23 14:16 0
uing 雪币： 85 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 160 粉丝 0 关注私信	uing 21 楼不就一空格么 union+select+username,password+form+admin-- 或者换成chr(XX), %XX等等~~ 2012-4-23 14:27 0
dayang 雪币： 220 活跃值： (711) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 22 楼这些+密，变换对ACCESS都是无效的 2012-4-23 14:34 0
itf 雪币： 1681 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 127 粉丝 0 关注私信	itf 23 楼学习了！！！！！！！！！！！！！ 2012-4-25 16:32 0
afeixbug 雪币： 3 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	afeixbug 24 楼不行的，还是不安全，因为ascii 码表 256个字符里面有不少可以代替空格，具体可以用脚本跑一下就知道，这个在 sqli-labs第26课有相应的实验，就是要你在空格被过滤的情况下找到可以代替空格的字符，可以用下面的 ruby脚本找到可以代替空格的字符： require 'net/http' require 'open-uri' $url = "http://127.0.0.1/Less-26/?id=1" $success_str = "Dumb" 255.times do \|i\| sep = '%' + '%02x' % i request = "http://127.0.0.1/Less-26/?id=#{sep}1" open(request) do \|io\| filters.push(sep) unless io.read.include?($success_str) end end puts filters 2017-10-30 14:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复