網上可以賭錢的游戲   免費注冊 查看新帖 |

網上可以賭錢的游戲

  平臺 網上游戲 博客 文庫
12下一頁
最近訪問板塊 發新帖
查看: 15021 | 回復: 10
打印 上一主題 下一主題

mysql中"set character_set_client=BINARY"的作用到底是什么? 網上可以賭錢的游戲

本文地址:http://www.hznkw.tw/thread-4291987-1-1.html
文章摘要:mysql中"set character_set_client=BINARY"的作用到底是什么? ,米科利馬科斯會跟,沉冤莫白有頭腦破觚斫雕。

家境小康

網上游戲徽章:
0
跳轉到指定樓層
1 [收藏(0)] [報告]
發表于 2018-01-15 20:36 |只看該作者 |倒序瀏覽
rt,為了防止寬字節,很多資料上都說可以在客戶端設置“set character_set_client=BINARY”,但是這句話的含義到底是什么呢?假如我目前客戶端的程序是這么設置的:
<?php

mysqli_query($conn, "set character_set_connection=GBK,set character_set_results=GBK,set character_set_client=BINARY");

...
...
?>





網上游戲徽章:
92
CU大牛徽章
日期:2013-11-29 22:26:36CU大牛徽章
日期:2014-02-21 14:21:56CU十二周年紀念徽章
日期:2014-02-21 14:22:02CU大牛徽章
日期:2014-02-21 14:22:07CU大牛徽章
日期:2014-02-21 14:22:09CU大牛徽章
日期:2015-02-28 17:45:342015元宵節徽章
日期:2015-03-06 16:56:38羊年新春福章
日期:2015-02-28 17:42:522015七夕節徽章
日期:2015-09-14 09:24:55CU大牛徽章
日期:2014-02-21 14:22:44CU大牛徽章
日期:2015-02-28 17:48:12CU大牛徽章
日期:2015-02-28 17:47:58
2 [報告]
發表于 2018-01-16 15:27 |只看該作者
本帖最后由 seesea2517 于 2018-01-16 16:45 編輯

沒怎么用過php,不過看著應該就用 set names 來統一設置三者字符集就可以了。
你這個設置是客戶端單獨用不同的字符集,二進制字符集就是不做轉換,直接存儲、傳輸字節內容。由于你的配置里連接用的是 GBK,那么傳到客戶端來的數據也就用 GBK 來解釋了。

BINARY:二進制字符集相關說明:http://www.hznkw.tw/amwsebg/doc/refman/5.7/en/charset-binary-set.html
php 連接設置的FAQ:http://www.hznkw.tw/amyl21gz/doc/refman ... gui-not-display-cjk

網上游戲徽章:
0
3 [報告]
發表于 2018-01-16 16:21 |只看該作者
@seesea2517 謝謝了!如果用“set names GBK”的話,是存在寬字節注入漏洞的。比如發起請求"http://www.hznkw.tw/yhwsylpt/index.php?a=%df'"。經服務端轉義后,a的值會變成%df%5c',而%df%5c是一個漢字,這相當于把單引號給逃離出來了,可以發起sql注入攻擊。
如果設置“character_set_client=BINARY”,即使“不做轉換、直接存儲”,那么mysql在解析sql之前,sql中a的內容還是%df%5c',按照這個邏輯,按說還是存在漏洞的。因此還是想不明白在防御攻擊的角度上,這個binary為什么能防住。

網上游戲徽章:
0
4 [報告]
發表于 2018-01-16 16:23 |只看該作者
@seesea2517 謝謝了!如果用“set names GBK”的話,是存在寬字節注入漏洞的。比如發起請求:
  1. http://www.hznkw.tw/bbpystskdy/index.php?a=%df'
復制代碼

經服務端轉義后,a的值會變成%df%5c',而%df%5c是一個漢字,這相當于把單引號給逃離出來了,可以發起sql注入攻擊。
如果設置“character_set_client=BINARY”,即使“不做轉換、直接存儲”,那么mysql在解析sql之前,sql中a的內容還是%df%5c',按照這個邏輯,按說還是存在漏洞的。因此還是想不明白在防御攻擊的角度上,這個binary為什么能防住。

網上游戲徽章:
0
5 [報告]
發表于 2018-01-16 16:31 |只看該作者
謝謝了!如果用“set names GBK”的話,是存在寬字節注入漏洞的。比如發起請求:
  1. http://www.hznkw.tw/KKyldwzsnyg/index.php?a=%df'
復制代碼

經服務端轉義后,a的值會變成%df%5c',而%df%5c是一個漢字,這相當于把單引號給逃離出來了,可以發起sql注入攻擊。
如果設置“character_set_client=BINARY”,即使“不做轉換、直接存儲”,那么mysql在解析sql之前,sql中a的內容還是%df%5c',按照這個邏輯,按說還是存在漏洞的。因此還是想不明白在防御攻擊的角度上,這個binary為什么能防住。

網上游戲徽章:
0
6 [報告]
發表于 2018-01-16 19:40 |只看該作者
謝謝了!如果用“set names GBK”的話,是存在寬字節注入漏洞的。比如發起請求:
  1. http://www.hznkw.tw/cjw/index.php?a=%df'
復制代碼
經服務端轉義后,a的值會變成:
  1. %df%5c'
復制代碼
而%df%5c是一個漢字,這相當于把單引號給逃離出來了,可以發起sql注入攻擊。
如果設置character_set_client=BINARY,即使不做轉換、直接存儲,那么mysql在解析sql之前,sql中a的內容還是:
  1. %df%5c'
復制代碼
按照這個邏輯,按說還是存在漏洞的。因此還是想不明白在防御攻擊的角度上,這個binary為什么能防住。

網上游戲徽章:
0
7 [報告]
發表于 2018-01-16 19:41 |只看該作者
謝謝了!如果用“set names GBK”的話,是存在寬字節注入漏洞的。比如發起請求:
  1. http://www.hznkw.tw/6y22sscz/index.php?a=%df’
復制代碼
經服務端轉義后,a的值會變成:
  1. %df%5c’
復制代碼
而%df%5c是一個漢字,這相當于把單引號給逃離出來了,可以發起sql注入攻擊。
如果設置character_set_client=BINARY,即使不做轉換、直接存儲,那么mysql在解析sql之前,sql中a的內容還是:
  1. %df%5c’
復制代碼
按照這個邏輯,按說還是存在漏洞的。因此還是想不明白在防御攻擊的角度上,這個binary為什么能防住。

網上游戲徽章:
0
8 [報告]
發表于 2018-01-17 08:30 |只看該作者
本帖最后由 danieluec 于 2018-01-17 08:32 編輯

謝謝~
從安全的角度看,如果二進制字符集就是不做轉換、直接存儲、傳輸字節,那么按照mysql的編碼轉換流程(client->connection->server),將client的編碼設置為binary也是防不住注入漏洞的。所以想弄明具體binary的功能和整個編碼過程。

網上游戲徽章:
92
CU大牛徽章
日期:2013-11-29 22:26:36CU大牛徽章
日期:2014-02-21 14:21:56CU十二周年紀念徽章
日期:2014-02-21 14:22:02CU大牛徽章
日期:2014-02-21 14:22:07CU大牛徽章
日期:2014-02-21 14:22:09CU大牛徽章
日期:2015-02-28 17:45:342015元宵節徽章
日期:2015-03-06 16:56:38羊年新春福章
日期:2015-02-28 17:42:522015七夕節徽章
日期:2015-09-14 09:24:55CU大牛徽章
日期:2014-02-21 14:22:44CU大牛徽章
日期:2015-02-28 17:48:12CU大牛徽章
日期:2015-02-28 17:47:58
9 [報告]
發表于 2018-01-17 09:33 |只看該作者
回復 20# danieluec

防注入應該有一些相關的專題文章或討論,樓主有發現有價值的歡迎分享給大家哈。

網上游戲徽章:
140
2015年亞洲杯之日本
日期:2015-04-28 13:32:012015年亞洲杯之朝鮮
日期:2015-05-06 10:16:442015年亞洲杯之日本
日期:2015-05-06 10:21:342015年亞洲杯紀念徽章
日期:2015-05-13 17:16:442015亞冠之北京國安
日期:2015-05-13 17:18:292015亞冠之鹿島鹿角
日期:2015-05-13 17:19:062015亞冠之德黑蘭石油
日期:2015-05-27 16:47:402015亞冠之塔什干棉農
日期:2015-05-28 15:24:122015亞冠之卡爾希納薩夫
日期:2015-06-01 13:52:392015亞冠之柏斯波利斯
日期:2015-06-04 17:37:292015亞冠之阿爾納斯爾
日期:2015-06-16 11:31:202015亞冠之塔什干火車頭
日期:2015-06-23 10:12:33
10 [報告]
發表于 2018-01-17 11:28 |只看該作者
回復 1# danieluec

回帖以標注成精華帖,感謝您對社區內容的貢獻
您需要登錄后才可以回帖 登錄 | 注冊

本版積分規則 發表回復

安定片
基于案例的 SQL 優化實戰訓練營

講師:中電福富特級專家梁敬彬,參與本次課程培訓,你將收獲:
1. 能編寫出較為高效的 SQL;
2. 能解決70%以上的數據庫常見優化問題;
3. 能得到老師提供的高效的相關工具和解決方案;
4. 能舉一反三,收獲不僅僅是 SQL 優化。
現在購票享受8.8折優惠!
----------------------------------------
優惠時間:2019年3月20日前

大會官網>>
<鏈輪> 安卓版四人麻将 内蒙古时时口诀秘籍 青海快3走势图基本走势号码统计 江西时时技巧 香港曾道免费资料2019开奖结果 上海时时票网 白小姐四不像的图 上海时时乐历史走势图 二分彩开奖记录 官网快乐十分下载 靠谱的淘宝返利公众号有哪些
  

北京盛拓優訊信息技術有限公司. 版權所有 16024965號-6 北京市公安局海淀分局網監中心備案編號:11010802020122
中國互聯網協會會員  聯系我們[email protected]
感謝所有關心和支持過ChinaUnix的朋友們 轉載本站內容請注明原作者名及出處

清除 Cookies - ChinaUnix - Archiver - WAP - TOP
   <鏈輪>内蒙古时时口诀秘籍 青海快3走势图基本走势号码统计 江西时时技巧 香港曾道免费资料2019开奖结果 上海时时票网 白小姐四不像的图 上海时时乐历史走势图 二分彩开奖记录 官网快乐十分下载 靠谱的淘宝返利公众号有哪些