SQL注入:突破关键字过滤

一直以来都以为只有空格，tab键和注释符/**/可以用来切割sql关键字，段时间在邪八看了风迅cms注入漏洞那篇帖子，才知道原来回车也可以用来作为分割符（以前竟然没有想到，真是失败）。回车的ascii码是chr(1 ... 　　一直以来都以为只有空格，tab键和注释符/**/可以用来切割sql关键字，段时间在邪八看了风迅cms注入漏洞那篇帖子，才知道原来回车也可以用 来作为分割符（以前竟然没有想到，真是失败）。回车的ascii码是chr(13)&chr(10)，至于为什么要两个连在一起，这个我也不知 道。转换成url编码形式是%0d%0a，于是就可以用%0d%0a代替空格pass一些过滤空格的检查了。
　　引申一下，只用%0d能正常执行语句吗？只用%0a呢？测试证明，用任意一种分割在mssql、mysql和access里面都是可以的。
　　另外，关于mssql的多语句问题。我以前一直以为必须用分号作为语句的结尾，后来发现，完全不是那样。类似
　　select * from table exec xp_cmdshell'xxxxxxxxxx'
　　select * from table/**/exec xp_cmdshell'xxxxxxxxxx'
　　select * from table|---tab---|exec xp_cmdshell'xxxxxxxxxx'
　　select * from table|---enter---|exec xp_cmdshell'xxxxxxxxxx'
　　的语句都是可以正常执行的。而我以前竟然一直不知道！不过这个貌似跟连接数据库驱动有关系，odbc可以正常执行，sqloledb的话就会报错。有兴趣的继续研究吧J
　　这样，以后遇到带空格过滤关键字的拦截程序，又可以发挥发挥了。可能大家早就知道了，不管怎么说，发在这里吧！
　 　最近想起可能还有些ascii码可以用来在sql语句中代替空格，于是写个脚本测试了一下，结果在所有128个低位ascii字符中，chr(12)也 可以在access里用，不过貌似chr(12)不能出现在and、or之类的关键词附近，原因不清楚。mysql中比access多一个chr(11) 可以。至于mssql，挖日，直接从1到32的ascii码换成字符后都可以正常使用。