注入过滤的问题
看过一些绕过过滤的文章,有的写到:
运用编码技术绕过
如URLEncode编码,ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。
虽然url能识别上面的语句,但是传输到Web服务器上就会还原成原来的样子吧。以上的这种绕过技术怎么可能行的通呢?
能不能说一下一般的过滤程序的工作流程是怎样的?(是不是将地址栏内的内容传到web服务器,web服务器过滤,然后数据库服务器再执行sql语句?)
IIS、URL、SQL语句分别能支持什么样的编码呢??