gbk字符编码和宽字节sql注入

ctf题目中宽字节注入是很常见的问题，我这篇文章的目的就是弄明白其中的原理。

通常来说，一个gbk编码的汉字通常占用两个字节，一个utf-8编码汉字，占用三个字节，

占用3个字节。在php中，我们可以通过输出

echo strlen("和");

来测试。当将页面编码保存为gbk时输出2，utf-8时输出3。

 

说了这么多废话，现在来研究一下在SQL注入中，gbk字符编码带来的各种问题。

MYSQL中的宽字符注入

这是一个老话题了，也被人玩过无数遍，先来看一个图：

 通常的在sql语句前面，我们使用了一个addslashes函数，将$id的值转义。这是通常cms中对sql注入进行的操作，只要我们的输入参数在单引号中，就逃逸不出单引号的限制，无法注入。

那么怎么逃过addslashes的限制？众所周知addslashes函数产生的效果就是，（有了单引号才好注入的说）让'变成\'，让引号变得不再是“单引号”，只是一撇而已。一般绕过方式就是，想办法处理\'前面的\：

1.想办法给\前面再加一个\（或单数个即可），变成\\'，这样\被转义了，'逃出了限制
2.想办法把\弄没有。

我们这里的宽字节注入是利用mysql的一个特性，mysql在使用GBK编码的时候，会认为两个字符是一个汉字（前一个ascii码要大于128，才到汉字的范围）。如果我们输入%df'看会怎样：

那么mysql怎么判断一个字符是不是汉字，根据gbk编码，第一个字节ascii码大于128，基本上就可以了。比如我们不用%df，用%a1也可以：%a1%5c他可能不是汉字，但一定会被mysql认为是一个宽字符，就能够让后面的%27逃逸了出来。