十、异或注入

异或：一种逻辑运算，简言之，相同为假，不同为真，NULL 与任何条件异或结果都为 NULL ，

mysql 中的符号是 ^ 和 xor 。

测试：

常用手段：用于判断所过滤的字符串

?id=1'^(0)
//得到正常的回显页面，由于异或之后得到 真 
?id=1'^(1)
//得到错误的回显页面，由于异或之后得到 假

常常用于判断我们所注入的某些字段是否被过滤

?id=1'^(length('union')>0)

如果 union 已被过滤，那么得到的将会是 length(0>0) ，显然是不成立的，那就将会是 1'^0 ，得到的为真，所以将会返回正常的页面；
如果 union 没有被过滤，相反的，将会得到为假的异或，返回的将会是错误的页面。由此可以判断某些字符的过滤情况。

常常使用：

?id=1'^(length('select')>0)#
?id=1'^(length('and')>0)#
?id=1'^(length('or')>0)#

符号特点：

^ 运算符会做位异或运算

xor 做逻辑运算 1 xor 0 会输出 1 ，其它情况输出其余所有数据

十一、宽字节注入

11.1 防御原理

为了防止 SQL注入漏洞，通常在源代码当中会对我们所输入的 SQL查询语句进行一个转义，一般是对单引号，双引号进行一个转义变成 ' 或者是"，这样Mysql在执行 SQL语句时，不会影响到查询，即不会出现报错，数据存储在数据库当中时不会含有 \ ，也就是说，它仅仅是在执行 SQL语句时进行了转义，当我们从数据库中向外调出数据时并不会含有 \ ，也就预防了SQL注入。

如果我们不进行转义，按照一般攻击者的思路进行 SQL注入，都是通过 ?id=1' 进行验证，如

下图，如果没有进行任何防御，即没有进行转义操作，就会出现报错，也就很容易的验证出来

了的确存在 SQL注入，并且容易看到注入方式。

11.2 常用的转义函数

addslashes() 函数：返回在预定义字符之前添加反斜杠的字符串

单引号（'）
双引号（"）
反斜杠（\）
NULL

mysql_real_escape_string() 函数 : 转义 SQL 语句中使用的字符串中的特殊字符

下列字符受影响：

\x00
\n
\r
\
'
"
\x1a

addslashes()

11.3 解决

网页连接数据库时，将字符编码设置为 GBK 编码集合，然后进行 SQL语句的拼接，进行数

据库的查询。

GBK编码采用双字节编码，编码范围为 8140~FEFE
转义字符的编码是 5c ，其在 GBK的编码范围之内，如果我们在转义字符之前提交一个同样在编码范围之内的字符，网页在解析时，就会将其与后面的转义字符进行一个匹配，组成一个双字节的 GBK编码的汉字，从而失去了转义的作用。
常用方法：在使用单引号或者双引号之前添加 %df 字符
方法二：在使用单引号或者双引号之前添加 %aa%5c 字符
解释