凯门鳄

先来说URL编码，%加两位的16进制表示一个字符，比如’经过编码之后就是%27，这是人人都知道的URL编码规则，UrlUnescapeInPlace之类的API函数甚至于程序员自己写的URL译码函数都是基于这一思想。

然而，我们何必如此听话，试想一下要是%后跟的不是16进制数字而是像abc%hh会发生什么事呢。先看UrlUnescapeInPlace，

写个小程序试一下，abc%hh经过译码还是abc%hh；再看asp.dll是怎么译码的，在asp页面中写入 response.Write(request.QueryString("str"))，然后用?str=abc%hh访问它，页面显示abchh，它直接把%给去掉了。

现在来思考要是我们提交sele%ct，信息监控系统得到的字符串还是sele%ct，当然它不是危险字符，它就不会拦截，但对于ASP，它得到的可就是select了，其它的同理，’可用%’表示，比如and exists(select * from admin)可转化为以下字符串a%nd ex%ists(%select * %from ad%min)。此方法可举一反三，比如用%%代替%都可以，还可以是其它的，具体的可以去看RFC2396。http://jnfly.com

帖子175 精华0 积分3293 阅读权限100 在线时间72 小时 注册时间2007-8-18 最后登录2008-7-24 查看详细资料TOP

伤心的鱼
运维管理组