鬼仔's Blog

by 唐不狐
http://blog.wang1.cn

问题：win2003+php环境下，server安装了类似“一流信息监控系统”的玩意，对一些设定的关键字进行拦截。于是我在phpshell中执行sql查询及系统命令时，就被提示文件无权限访问了。

解决方案考虑：

1.mysql-front的phphttp代理功能

公司技术工程师给我提供了这个方法。他介绍说mysql-front在3.2版本开始提供一个脚本，支持代理。
使用方法：在程序目录下有个php文件。我们把它上传至肉鸡web目录下。本地配置如下

这样就ok了。
测试结果是：3.2版本的连接报错。新版4.0的可以成功连接，但由于非注册版，功能受限。操作不理想。

方案2：自写一个php脚本把select,update….之类被拦截的查询需要词固化在里面。
这个很好理解，这里监控系统只是拦截客户端表单提交数据中的敏感关键词。我们把这些被拦截的字写在脚本里面，不让它出现在表单中即可绕过。

结果：成功！

方案3：抓包phpshell进行查询并且被拦截的语句，对其进行重新改造（替换，编码…)
这个目前没有很好的解决问题。