对于sql注入漏洞的防御方法，核心思想是转义。让输入的内容不会成为sql语句的语法的一部分，也就是说让输入的内容仅仅是sql语句的数据部分。这样的对抗方法有很多种，比如是宽字节注入[1]，二次注入等。

ailx10

网络安全优秀回答者

网络安全硕士

去咨询

宽字节带来的问题主要是吃ASCII码字符的现象！GBK编码第一个字节（高字节）的范围是0x81~0xFE，第二个字节（低字节）的范围是0x40~0x7E与0x80~0xFE， 而\字符的十六进制是0x5C，正好是GBK的低字节，如果前面来一个高字节，那么正好凑成一个合法字符！比如815C是乗，DF5C是運，你可以用下面的python脚本，来输出任意16进制对应的GBK字符，实现宽字节注入。

二次注入的场景比较复杂，也能绕过单引号转义，实现sql注入。原理如下：大多数数据库，在存储数据前会对数据进行一次反转义，也就是将\'转成' ，而一些网站框架会将数据库的数据取出来，再拼接成sql语句进行查询，于是就发生了二次注入。

典型的sql注入，还有其他类型如下，任重而道远，继续努力～

1.Union注入2.Boolean注入3.报错注入4.时间注入5.堆叠注入6.二次注入7.宽字节注入8.大小写绕过注入9.编码绕过注入10.内联注释绕过注入